GLSA-202208-34：Apache Tomcat：多個弱點

high Nessus Plugin ID 164434

語系：

說明

遠端主機受到 GLSA-202208-34 中所述的弱點影響 (Apache Tomcat：多個弱點)

- 當回應新的 h2c 連線要求時，Apache Tomcat 10.0.0-M1 至 10.0.0、9.0.0.M1 至 9.0.41 以及 8.5.0 至 8.5.61 版可將要求標頭和數量有限的要求內文從一個要求復製到另一個要求，這表示使用者 A 和使用者 B 都可以看到使用者 A 要求的結果。
(CVE-2021-25122)

- CVE-2020-9484 的修正不完整。- 使用 Apache Tomcat 10.0.0-M1 至 10.0.0、9.0.0.M1 至 9.0.41 、8.5.0 至 8.5.61 或 7.0.0 至 7.0.107 (具有不太可能使用的組態邊緣案例) 時，Tomcat 執行個體仍容易受到 CVE-2020-9494 影響。請注意，先前公佈的 CVE-2020-9484 的先決條件和先前公佈的 CVE-2020-9484 的緩解措施也適用於這個問題。(CVE-2021-25329)

- Apache Tomcat 中有一個弱點，攻擊者可利用此弱點從遠端觸發拒絕服務攻擊。在改善非封鎖 I/O 期間的錯誤處理過程中引入了一個錯誤，即未在要求之間重設與 Request 物件相關聯的錯誤旗標。這表示一旦發生非封鎖 I/O 錯誤，該要求物件處理的所有未來要求都會失敗。使用者可透過中斷連線等方式觸發非封鎖 I/O 錯誤，進而可能觸發 DoS。不使用非封鎖 I/O 的應用程式不會受到此弱點影響。此問題影響 Apache Tomcat 10.0.3 至 10.0.4、9.0.44、8.5.64。(CVE-2021-30639)

- Apache Tomcat 的 JNDI Realm 中存在一個弱點，其允許攻擊者使用有效使用者名稱的變體進行驗證和/或繞過 LockOut Realm 提供的一些保護。此問題的影響範圍為 Apache Tomcat 10.0.0-M1 至 10.0.5；9.0.0.M1 至 9.0.45；8.5.0 至 8.5.65。(CVE-2021-30640)

- 在某些情況下，Apache Tomcat 10.0.0-M1 至 10.0.6、9.0.0.M1 至 9.0.46 版和 8.5.0 至 8.5.66 版未正確剖析 HTTP 傳輸編碼要求標頭，與反向 Proxy 搭配使用時，這可能會觸發要求走私攻擊。具體來說：- 如果用戶端宣告其只會接受 HTTP/1.0 回應，則 Tomcat 會錯誤忽略傳輸編碼標頭； - Tomcat 接受識別編碼；
以及 - Tomcat 未確保區塊編碼 (若存在) 為最終編碼。
(CVE-2021-33037)

- 修正 Apache Tomcat 10.1.0-M1 至 10.1.0-M5、10.0.0-M1 至 10.0.11、9.0.40 至 9.0.53 和 8.5.60 至 8.5.71 版中存在的錯誤 63362 引入了記憶體洩漏。引入用於收集 HTTP 升級連線指標的物件在 WebSocket 連線關閉後並未釋放。這會造成記憶體洩漏，並且隨著時間的推移，可透過 OutOfMemoryError 導致拒絕服務。
(CVE-2021-42340)

- 在 Apache Tomcat 10.1.0-M1 到 10.1.0-M16、10.0.0-M1 到 10.0.22、9.0.30 到 9.0.64 和 8.5.50 到 8.5.81 中，範例 Web 應用程式中的表單驗證範例未經篩選就顯示使用者提供的資料，進而洩漏 XSS 弱點。(CVE-2022-34305)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

解決方案

所有 Apache Tomcat 10.x 使用者皆應升級至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-servers/tomcat-10.0.23:10 所有 Apache Tomcat 9.x 使用者皆應升級至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-servers/tomcat-9.0。65:9 所有 Apache Tomcat 8.5.x 使用者皆應升級至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-servers/tomcat-8.5.82:8.5