偵測

MiracleLinux 4tomcat6-6.0.24-78.AXS4 (AXSA:2014-496:04)

medium Nessus Plugin ID 289644

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2014-496:04 公告中所提及。

 描述:
 Tomcat 是在正式參照實作 Java Servlet 和 JavaServer Pages 技術時所用的 servlet 容器。
 Java Servlet 和 JavaServer Pages 規格是由 Sun 依據 Java Community Process 所開發。
 Tomcat 是在開放和參與式環境中開發,並在 Apache 軟體授權版 2.0 下發布。Tomcat 旨在成為全球最佳開發人員的協作項目。
 此版本修正的安全性問題
 CVE-2013-4590 之前的 Apache Tomcat、 6.0.39之前的 7.0.507.x 和 [] 之前的 8.x 和 8.0.0之前的 [] -RC10 允許攻擊者利用具有 context.xml、web.xml、*包含與實體參照連結的外部實體宣告的 .jspx、*.tagx 或 *.tld XML 文件與 XML 外部實體 (XXE) 問題相關。
 CVE-2014-0119 之前的 Apache Tomcat、 6.0.407.x 之前的 7.0.54以及 8.x 之前的 8.0.6 未正確限制會存取與 XSLT 樣式表搭配使用之 XML 剖析器的類別載入器其允許遠端攻擊者 (1) 透過特製 Web 應用程式提供搭配實體參照的 XML 外部實體宣告其與 XML 外部實體 (XXE) 問題相關或是 (2) 透過特製 Web 應用程式讀取與單一 Tomcat 執行個體上不同 Web 應用程式相關聯的檔案。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/4940

Plugin 詳細資訊

嚴重性: Medium

ID: 289644

檔案名稱: miracle_linux_AXSA-2014-496.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 1.4

Vendor

Vendor Severity: Low

CVSS v2

風險因素: Medium

基本分數: 4.3

時間性分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2014-0119

CVSS v3

風險因素: Medium

基本分數: 4.3

時間性分數: 3.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:tomcat6-lib, p-cpe:/a:miracle:linux:tomcat6, p-cpe:/a:miracle:linux:tomcat6-el-2.1-api, p-cpe:/a:miracle:linux:tomcat6-servlet-2.5-api, p-cpe:/a:miracle:linux:tomcat6-jsp-2.1-api, cpe:/o:miracle:linux:4

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/8/14

弱點發布日期: 2013/12/26

參考資訊

CVE: CVE-2013-4590, CVE-2014-0119