偵測

MiracleLinux 7tomcat-7.0.54-8.el7 (AXSA:2016-704:01)

high Nessus Plugin ID 289327

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝受到多個弱點影響的套件如 AXSA:2016-704:01 公告中所提及。

 Tomcat 是在正式參照實作 Java Servlet 和 JavaServer Pages 技術時所用的 servlet 容器。
 Java Servlet 和 JavaServer Pages 規格是由 Sun 依據 Java Community Process 所開發。
 Tomcat 是在開放和參與式環境中開發,並在 Apache 軟體授權版 2.0 下發布。Tomcat 旨在成為全球最佳開發人員的協作項目。
 此版本修正的安全性問題
 CVE-2014-7810 在 Apache Tomcat 6.x 之前的 6.0.44、 7.x 之前的 7.0.58和 8.x 之前的 8.0.16 中運算式語言 (EL) 實作未正確考慮無法存取的類別實作可存取介面的可能性進而允許攻擊者透過在 EL 評估期間使用不正確權限的 Web 應用程式繞過 SecurityManager 保護機制。
 CVE-2015-5346 在 7.x 之前的 7.0.66之前的 [] 、 8.x 之前的 8.0.30以及 9.x 之前的 9.0.0.M2中當不同的工作階段設定用於部署多個版本的相同 Web 應用程式時可能允許遠端攻擊者劫持的工作階段固定弱點透過利用非預定要求的 requestedSessionSSL 欄位來解決 Web 工作階段問題此問題與 CoyoteAdapter.java 和 Request.java 有關。
 CVE-2016-5388 當啟用 CGI Servlet 時Apache Tomcat 到 8.5.4會遵循 RFC 3875 區段 4.1.18 因此不會保護應用程式不受 HTTP_PROXY 環境變數中未受信任用戶端資料的影響這可能允許遠端攻擊者重新導向應用程式的傳出透過 HTTP 要求中特製的 Proxy 標頭傳送至任意 Proxy 伺服器的 HTTP 流量又稱為 httpoxy 問題。
 注意供應商表示已針對 Tomcat 的未來版本規劃緩解措施追踪為 CVE-2016-5388換句話說這不是弱點的 CVE ID。
 CVE-2016-5425
 ** 保留 ** 此候選編號已由宣佈新安全性問題時將使用該編號的組織或個人所保留。當候選編號公佈時,將會提供此候選編號的詳細資料。
 CVE-2016-6325
 ** 保留 ** 此候選編號已由宣佈新安全性問題時將使用該編號的組織或個人所保留。當候選編號公佈時,將會提供此候選編號的詳細資料。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/7136

Plugin 詳細資訊

嚴重性: High

ID: 289327

檔案名稱: miracle_linux_AXSA-2016-704.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

Vendor

Vendor Severity: High

CVSS v2

風險因素: High

基本分數: 7.2

時間性分數: 6

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2016-6325

CVSS v3

風險因素: High

基本分數: 8.1

時間性分數: 7.5

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

CVSS 評分資料來源: CVE-2016-5388

弱點資訊

CPE: p-cpe:/a:miracle:linux:tomcat-admin-webapps, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:tomcat-lib, p-cpe:/a:miracle:linux:tomcat-webapps, p-cpe:/a:miracle:linux:tomcat-el-2.2-api, p-cpe:/a:miracle:linux:tomcat, p-cpe:/a:miracle:linux:tomcat-jsp-2.2-api, p-cpe:/a:miracle:linux:tomcat-servlet-3.0-api

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2016/10/11

弱點發布日期: 2015/1/16

參考資訊

CVE: CVE-2014-7810, CVE-2015-5346, CVE-2016-5388, CVE-2016-5425, CVE-2016-6325

IAVB: 2016-B-0160-S