Debian DLA-2133-1:tomcat7 安全性更新

critical Nessus Plugin ID 134243

Synopsis

遠端 Debian 主機缺少一個安全性更新。

描述

在 Tomcat Servlet 和 JSP 引擎中發現數個安全性弱點。

CVE-2019-17569

7.0.98 中的重構引入了一個迴歸。迴歸的後果是:無效的 Transfer-Encoding 標頭未獲正確處理,若 Tomcat 以特定方式被放置在不當處理無效 Transfer-Encoding 標頭的反向 Proxy 後,即可能導致 HTTP 要求走私。這樣的反向 Proxy 是不太可能發生的。

CVE-2020-1935

剖析程式碼的 HTTP 標頭執行行尾 (EOL) 剖析時使用的方法會導致某些無效 HTTP 標頭被剖析為有效。
若 Tomcat 以特定方式被放置在不當處理無效 Transfer-Encoding 標頭的反向 Proxy 後,即可能導致 HTTP 要求走私。這樣的反向 Proxy 是不太可能發生的。

CVE-2020-1938

使用 Apache JServ Protocol (AJP) 時,信任連至 Apache Tomcat 的內傳連線時請務必謹慎。例如,Tomcat 認為 AJP 連線的可信度比類似的 HTTP 連線高。如果攻擊者可利用此類連線,這些連線就會以非正常的方式遭到惡意利用。在 Tomcat 7.0.100 之前,Tomcat 出貨時已預設啟用會接聽所有已設定 IP 位址的 AJP 連接器。非必要時,此連接器應該 (安全性指南中也建議) 停用。

請注意,Debian 已經依預設停用 AJP 連接器。僅當非受信任使用者可存取 AJP 連接埠時,才需要執行緩解措施。

針對 Debian 8「Jessie」,已在 7.0.56-3+really7.0.100-1 版本中修正這些問題。

建議您升級 tomcat7 套件。

注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2020/03/msg00006.html

https://packages.debian.org/source/jessie/tomcat7

Plugin 詳細資訊

嚴重性: Critical

ID: 134243

檔案名稱: debian_DLA-2133.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2020/3/6

已更新: 2022/3/8

支持的傳感器: Frictionless Assessment Agent, Nessus Agent

風險資訊

VPR

風險因素: Critical

分數: 9.4

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.9

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

時間媒介: E:POC/RL:OF/RC:C

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:libservlet3.0-java, p-cpe:/a:debian:debian_linux:libservlet3.0-java-doc, p-cpe:/a:debian:debian_linux:libtomcat7-java, p-cpe:/a:debian:debian_linux:tomcat7, p-cpe:/a:debian:debian_linux:tomcat7-admin, p-cpe:/a:debian:debian_linux:tomcat7-common, p-cpe:/a:debian:debian_linux:tomcat7-docs, p-cpe:/a:debian:debian_linux:tomcat7-examples, p-cpe:/a:debian:debian_linux:tomcat7-user, cpe:/o:debian:debian_linux:8.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2020/3/4

弱點發布日期: 2020/2/24

CISA 已知利用日期: 2022/3/17

參考資訊

CVE: CVE-2019-17569, CVE-2020-1935, CVE-2020-1938