MiracleLinux 3tomcat5-5.5.23-0jpp.7.1.1AXS3 (AXSA:2008-90:02)
medium Nessus Plugin ID 284313
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 3 主機已安裝受到 AXSA:2008-90:02 公告中所提及的多個弱點影響的套件。Tomcat 是在正式參照實作 Java Servlet 和 JavaServer Pages 技術時所用的 servlet 容器。
Java Servlet 和 JavaServer Pages 規格是由 Sun 依據 Java Community Process 所開發。
CVE-2008-1232:
Apache Tomcat 4.1.0 至 4.1.37、 5.5.0 至 5.5.26以及 6.0.0 至 6.0.16 中的跨網站指令碼 (XSS) 弱點可讓遠端攻擊者透過用於訊息引數的特製字串插入任意 Web 指令碼或 HTML HttpServletResponse.sendError 方法。
CVE-2008-1947:
Apache Tomcat 5.5.9 至 5.5.26 和 6.0.0 至 6.0.16 中的跨網站指令碼 (XSS) 弱點可讓遠端攻擊者透過名稱參數 (即主機名稱屬性) 將任意 Web 指令碼或 HTML 插入至 host-manager/html/add 。
CVE-2008-2370:
Apache Tomcat 4.1.0 至 4.1.37、 5.5.0 至 5.5.26和 6.0.0 至 6.0.16使用 RequestDispatcher 時會先執行路徑標準化然後再從 URI 中移除查詢字串這可讓遠端攻擊者發動目錄遊走攻擊並讀取透過 ..
(點點) 讀取任意檔案。
CVE-2008-2938:
Apache Tomcat 4.1.0 至 4.1.37、 5.5.0 至 5.5.26和 6.0.0 至 6.0.16中的目錄遊走弱點允許遠端攻擊者透過 URI 中編碼的目錄遊走序列讀取任意檔案。與 CVE-2008-2370不同的弱點。
注意據報 6.0.18 之前的版本受到影響但供應商公告將 6.0.16 列為最新受影響的版本。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 284313
檔案名稱: miracle_linux_AXSA-2008-90.nasl
版本: 1.1
類型: local
已發布: 2026/1/14
已更新: 2026/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.2
Vendor
Vendor Severity: High
CVSS v2
風險因素: Medium
基本分數: 5
時間性分數: 4.1
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2008-2370
CVSS v3
風險因素: Medium
基本分數: 6.1
時間性分數: 5.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:F/RL:O/RC:C
CVSS 評分資料來源: CVE-2008-1947
CVSS v4
風險因素: Medium
Base Score: 5.3
Threat Score: 2.1
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
CVSS 評分資料來源: CVE-2008-1947
弱點資訊
CPE: p-cpe:/a:miracle:linux:tomcat5-server-lib, p-cpe:/a:miracle:linux:tomcat5-jsp-2.0-api-javadoc, p-cpe:/a:miracle:linux:tomcat5-webapps, p-cpe:/a:miracle:linux:tomcat5-common-lib, p-cpe:/a:miracle:linux:tomcat5-jasper-javadoc, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:tomcat5-jsp-2.0-api, p-cpe:/a:miracle:linux:tomcat5-servlet-2.4-api-javadoc, p-cpe:/a:miracle:linux:tomcat5-servlet-2.4-api, p-cpe:/a:miracle:linux:tomcat5-admin-webapps, p-cpe:/a:miracle:linux:tomcat5-jasper, p-cpe:/a:miracle:linux:tomcat5
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2008/9/22
弱點發布日期: 2008/6/2
可惡意利用
CANVAS (D2ExploitPack)
參考資訊
CVE: CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938