Amazon Linux AMI:tomcat7 (ALAS-2020-1352)

critical Nessus Plugin ID 134574

Synopsis

遠端 Amazon Linux AMI 主機缺少一個安全性更新。

描述

在 Apache Tomcat 9.0.0.M1 至 9.0.30、8.5.0 至 8.5.50 及 7.0.0 至 7.0.99 中,剖析程式碼的 HTTP 標頭對行尾剖析使用了會導致某些無效 HTTP 標頭被剖析為有效的方法。若 Tomcat 以特定方式被放置在不當處理無效 Transfer-Encoding 標頭的反向 Proxy 後,即可能導致 HTTP 要求走私。這樣的反向 Proxy 是不太可能發生的。(CVE-2020-1935) Apache Tomcat 9.0.28 至 9.0.30、8.5.48 至 8.5.50 和 7.0.98 至 7.0.99 中的重構引入了回歸。迴歸的後果是:無效的 Transfer-Encoding 標頭未獲正確處理,若 Tomcat 以特定方式被放置在不當處理無效 Transfer-Encoding 標頭的反向 Proxy 後,即可能導致 HTTP 要求走私。這樣的反向 Proxy 是不太可能發生的。(CVE-2019-17569) 使用 Apache JServ Protocol (AJP) 時,信任連至 Apache Tomcat 的內傳連線時請務必謹慎。例如,Tomcat 認為 AJP 連線的可信度比類似的 HTTP 連線高。如果攻擊者可利用此類連線,這些連線就會以非正常的方式遭到惡意利用。在 Apache Tomcat 9.0.0.M1 至 9.0.0.30、8.5.0 至 8.5.50 和 7.0.0 至 7.0.99 中,Tomcat 出貨時已預設啟用會接聽所有已設定 IP 位址的 AJP 連接器。非必要時,此連接器應該 (安全性指南中也建議) 停用。此弱點報告指出了允許下列狀況發生的機制:- 從 Web 應用程式任意位置傳回任意檔案 - 將 Web 應用程式中的任何檔案處理成 JSP 此外,若 Web 應用程式允許檔案上傳並將這些檔案儲存在 Web 應用程式內 (或者攻擊者可利用其他方式控制 Web 應用程式的內容),則加上將檔案處理為 JSP 的能力,即可能發生遠端程式碼執行。請務必注意,僅當非受信任使用者可存取 AJP 連接埠時,才需要執行減輕措施。若使用者希望採用深度防禦方式,並封鎖允許傳回任意檔案及以 JSP 形式執行的向量,可升級至 Apache Tomcat 9.0.31、8.5.51 或 7.0.100 或更新版本。9.0.31 版 AJP 連接器預設組態已做了一些變更,以強化預設組態。升級至 9.0.31、8.5.51 或 7.0.100 或更新版本的使用者可能需要微幅變更其組態。(CVE-2020-1938) 作為此 CVE 修正的一部分,我們在預設組態中停用 Tomcat 2019 AJP 連接器,以配合上游變更。此變更要求使用預設 Tomcat 組態 (先前 AJP 連接器為啟用狀態) 的客戶在需要時明確重新啟用連接器。亦請注意,設定時無明確位址的連接器將只會繫結至回送位址。更新 tomcat8 和 tomcat7 之前及之後來自 netstat 的輸出範例如下 (請注意,這與 tomcat7 和 tomcat8 的 AL1 和 AL2 上的狀況相同)。AL1 tomcat7 : before : tcp6 0 0 :::8009 :::* LISTEN 25772/java tcp6 0 0 :::8080 :::* LISTEN 25772/java tcp6 0 0 127.0.0.1:8005 :::* LISTEN 25772/java After : tcp6 0 0 :::8080 :::* LISTEN 25772/java tcp6 0 0 127.0.0.1:8005 :::* LISTEN 25772/java 若要針對 AL1 在 Tomcat 中重新啟用 AJP 連接埠,使用者可將 /etc/tomcat{TOMCAT_VERSION}/server.xml 中的下列行取消註記解,並重新啟動服務:<!-- <Connector protocol='AJP/1.3' address='::1' port='8009' redirectPort='8443' /> --> 另請參閱:Apache Tomcat 版本注意事項 Tomcat 7 <a href='http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_ 8.5.51'>Tomcat 8 RedHat <a href='https://access.redhat.com/solutions/4851251'>解決方案

解決方案

執行「yum update tomcat7」以更新系統。

另請參閱

http://www.nessus.org/u?177285c3

https://alas.aws.amazon.com/ALAS-2020-1352.html

Plugin 詳細資訊

嚴重性: Critical

ID: 134574

檔案名稱: ala_ALAS-2020-1352.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2020/3/16

已更新: 2022/3/8

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

風險資訊

CVSS 評分資料來源: CVE-2020-1938

VPR

風險因素: Critical

分數: 9.4

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

時間媒介: E:H/RL:OF/RC:C

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 9.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:H/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:tomcat7, p-cpe:/a:amazon:linux:tomcat7-admin-webapps, p-cpe:/a:amazon:linux:tomcat7-docs-webapp, p-cpe:/a:amazon:linux:tomcat7-el-2.2-api, p-cpe:/a:amazon:linux:tomcat7-javadoc, p-cpe:/a:amazon:linux:tomcat7-jsp-2.2-api, p-cpe:/a:amazon:linux:tomcat7-lib, p-cpe:/a:amazon:linux:tomcat7-log4j, p-cpe:/a:amazon:linux:tomcat7-servlet-3.0-api, p-cpe:/a:amazon:linux:tomcat7-webapps, cpe:/o:amazon:linux

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2020/3/13

弱點發布日期: 2020/2/24

CISA 已知利用日期: 2022/3/17

參考資訊

CVE: CVE-2019-17569, CVE-2020-1935, CVE-2020-1938

ALAS: 2020-1352