概要
遠端 Apache Tomcat 伺服器受到多個弱點影響
說明
遠端主機上安裝的 Tomcat 版本比 7.0.100 舊。因此,會受到 fixed_in_apache_tomcat_7.0.100_security-7 公告中提及的多個弱點影響。
- 使用 Apache JServ Protocol (AJP) 時,信任連至 Apache Tomcat 的內傳連線時請務必謹慎。例如,Tomcat 認為 AJP 連線的可信度比類似的 HTTP 連線高。如果攻擊者可利用此類連線,這些連線就會以非正常的方式遭到惡意利用。在 Apache Tomcat 9.0.0.M1 至 9.0.0.30、8.5.0 至 8.5.50 和 7.0.0 至 7.0.99 中,Tomcat 出貨時已預設啟用會接聽所有已設定 IP 位址的 AJP 連接器。非必要時,此連接器應該 (安全性指南中也建議) 停用。此弱點報告指出了允許下列狀況發生的機制:- 從 Web 應用程式任意位置傳回任意檔案 - 將 Web 應用程式中的任何檔案處理成 JSP 此外,若 Web 應用程式允許檔案上傳並將這些檔案儲存在 Web 應用程式內 (或者攻擊者可利用其他方式控制 Web 應用程式的內容),則加上將檔案處理為 JSP 的能力,即可能發生遠端程式碼執行。請務必注意,僅當非受信任使用者可存取 AJP 連接埠時,才需要執行減輕措施。若使用者希望採用深度防禦方式,並封鎖允許傳回任意檔案及以 JSP 形式執行的向量,可升級至 Apache Tomcat 9.0.31、8.5.51 或 7.0.100 或更新版本。9.0.31 版 AJP 連接器預設組態已做了一些變更,以強化預設組態。升級至 9.0.31、8.5.51 或 7.0.100 或更新版本的使用者可能需要微幅變更其組態。
(CVE-2020-1938)
- 在 Apache Tomcat 9.0.0.M1 至 9.0.30、8.5.0 至 8.5.50 及 7.0.0 至 7.0.99 中,剖析程式碼的 HTTP 標頭對行尾剖析使用了會導致某些無效 HTTP 標頭被剖析為有效的方法。若 Tomcat 以特定方式被放置在不當處理無效 Transfer-Encoding 標頭的反向 Proxy 後,即可能導致 HTTP 要求走私。這種反向代理被認為是不太可能發生的。(CVE-2020-1935)
- Apache Tomcat 9.0.28 至 9.0.30、8.5.48 至 8.5.50 和 7.0.98 至 7.0.99 版中的重構引入了回歸。迴歸的後果是:無效的 Transfer-Encoding 標頭未獲正確處理,若 Tomcat 以特定方式被放置在不當處理無效 Transfer-Encoding 標頭的反向 Proxy 後,即可能導致 HTTP 要求走私。這種反向代理被認為是不太可能發生的。(CVE-2019-17569)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級版本至 Apache Tomcat 7.0.100 或更新版本。
Plugin 詳細資訊
檔案名稱: tomcat_7_0_100.nasl
代理程式: windows, macosx, unix
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:H/RL:O/RC:C
弱點資訊
CPE: cpe:/a:apache:tomcat:7
必要的 KB 項目: installed_sw/Apache Tomcat
可輕鬆利用: Exploits are available
CISA 已知遭惡意利用弱點到期日: 2022/3/17