Debian DLA-2209-1:tomcat8 安全性更新

critical Nessus Plugin ID 136951

Synopsis

遠端 Debian 主機缺少一個安全性更新。

描述

在 Tomcat Servlet 和 JSP 引擎中發現數個安全性弱點。

警告:CVE-2020-1938 的修正可能會中斷依賴運作中 AJP 組態的服務。選項 secretRequired 現在預設為 true。您應該在 server.xml 中定義密碼,也可以將 secretRequired 設為 false 來還原密碼。

CVE-2019-17563

使用 Apache Tomcat 的 FORM 驗證時,有一段短暫時間可供攻擊者執行工作階段固定攻擊。這段時間因為過於短暫,所以被認為無法進行實際的惡意利用,但為了謹慎起見,此問題已被視為安全性弱點。

CVE-2020-1935

- 在 Apache Tomcat 中,剖析程式碼的 HTTP 標頭執行行尾剖析時使用的方法會導致某些無效 HTTP 標頭被剖析為有效。若 Tomcat 以特定方式被放置在不當處理無效 Transfer-Encoding 標頭的反向 Proxy 後,即可能導致 HTTP 要求走私。這樣的反向 Proxy 是不太可能發生的。

CVE-2020-1938

使用 Apache JServ Protocol (AJP) 時,信任連至 Apache Tomcat 的內傳連線時請務必謹慎。例如,Tomcat 認為 AJP 連線的可信度比類似的 HTTP 連線高。如果攻擊者可利用此類連線,這些連線就會以非正常的方式遭到惡意利用。之前,Tomcat 出貨時已預設啟用會接聽所有已設定 IP 位址的 AJP 連接器。非必要時,此連接器應該 (安全性指南中也建議) 停用。
. 請注意,Debian 已經依預設停用 AJP 連接器。
僅當非受信任使用者可存取 AJP 連接埠時,才需要執行緩解措施。

CVE-2020-9484

使用 Apache Tomcat 時,如果 a) 攻擊者能夠控制伺服器上某個檔案的內容和名稱; 以及 b) 伺服器設定為使用具有 FileStore 的 PersistenceManager;以及 c) PercontinenceManager 設定為 sessionAttributeValueClassNameFilter ='null' (除非使用 SecurityManager,否則為預設值) 或充分寬鬆的篩選條件,允許攻擊者提供的物件遭到還原序列化;以及 d) 攻擊者從 FileStore 所使用的儲存位置知道攻擊者可控制之檔案的相關檔案路徑;則攻擊者將可使用特製的要求,透過對其控制之下的檔案還原序列化來觸發遠端程式碼執行弱點。請注意,a) 至 d) 的所有條件都必須為 true,攻擊才會成功。

針對 Debian 8「Jessie」,已在 8.0.14-1+deb8u17 版本中修正這些問題。

我們建議您升級 tomcat8 套件。

注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2020/05/msg00026.html

https://packages.debian.org/source/jessie/tomcat8

Plugin 詳細資訊

嚴重性: Critical

ID: 136951

檔案名稱: debian_DLA-2209.nasl

版本: 1.8

類型: local

代理程式: unix

已發布: 2020/5/29

已更新: 2022/3/8

支持的傳感器: Frictionless Assessment Agent, Nessus Agent

風險資訊

VPR

風險因素: Critical

分數: 9.4

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.9

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

時間媒介: E:POC/RL:OF/RC:C

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:libservlet3.1-java, p-cpe:/a:debian:debian_linux:libservlet3.1-java-doc, p-cpe:/a:debian:debian_linux:libtomcat8-java, p-cpe:/a:debian:debian_linux:tomcat8, p-cpe:/a:debian:debian_linux:tomcat8-admin, p-cpe:/a:debian:debian_linux:tomcat8-common, p-cpe:/a:debian:debian_linux:tomcat8-docs, p-cpe:/a:debian:debian_linux:tomcat8-examples, p-cpe:/a:debian:debian_linux:tomcat8-user, cpe:/o:debian:debian_linux:8.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2020/5/28

弱點發布日期: 2019/12/23

CISA 已知利用日期: 2022/3/17

參考資訊

CVE: CVE-2019-17563, CVE-2020-1935, CVE-2020-1938, CVE-2020-9484

IAVA: 2020-A-0225-S