Amazon Linux AMI : tomcat7 / tomcat8 (ALAS-2017-903)

medium Nessus Plugin ID 103600

語系：

概要

遠端 Amazon Linux AMI 主機缺少一個安全性更新。

說明

1480618：CORS 篩選器未加入 Vary 標頭，進而導致快取破壞。Apache Tomcat 中的 CORS 篩選器未加入表示回應會隨著來源而不同的 HTTP Vary 標頭。在某些情況下，這允許用戶端和伺服器端快取破壞。(CVE-2017-7674)

解決方案

執行「yum update tomcat7」以更新系統。執行「yum update tomcat8」以更新系統。

另請參閱

https://alas.aws.amazon.com/ALAS-2017-903.html

Plugin 詳細資訊

嚴重性: Medium

ID: 103600

檔案名稱: ala_ALAS-2017-903.nasl

版本: 3.3

類型: local

代理程式: unix

系列: Amazon Linux Local Security Checks

已發布: 2017/10/3

已更新: 2018/4/18

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

風險資訊

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS v3

風險因素: Medium

基本分數: 4.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

弱點資訊

CPE: p-cpe:/a:amazon:linux:tomcat7, p-cpe:/a:amazon:linux:tomcat7-admin-webapps, p-cpe:/a:amazon:linux:tomcat7-docs-webapp, p-cpe:/a:amazon:linux:tomcat7-el-2.2-api, p-cpe:/a:amazon:linux:tomcat7-javadoc, p-cpe:/a:amazon:linux:tomcat7-jsp-2.2-api, p-cpe:/a:amazon:linux:tomcat7-lib, p-cpe:/a:amazon:linux:tomcat7-log4j, p-cpe:/a:amazon:linux:tomcat7-servlet-3.0-api, p-cpe:/a:amazon:linux:tomcat7-webapps, p-cpe:/a:amazon:linux:tomcat8, p-cpe:/a:amazon:linux:tomcat8-admin-webapps, p-cpe:/a:amazon:linux:tomcat8-docs-webapp, p-cpe:/a:amazon:linux:tomcat8-el-3.0-api, p-cpe:/a:amazon:linux:tomcat8-javadoc, p-cpe:/a:amazon:linux:tomcat8-jsp-2.3-api, p-cpe:/a:amazon:linux:tomcat8-lib, p-cpe:/a:amazon:linux:tomcat8-log4j, p-cpe:/a:amazon:linux:tomcat8-servlet-3.1-api, p-cpe:/a:amazon:linux:tomcat8-webapps, cpe:/o:amazon:linux

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

修補程式發佈日期: 2017/10/2

參考資訊

CVE: CVE-2017-7674

ALAS: 2017-903

偵測