偵測

MiracleLinux 3tomcat5-5.5.23-0jpp.38.0.1.AXS3 (AXSA:2013-370:01)

medium Nessus Plugin ID 290018

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝受到多個弱點影響的套件如 AXSA:2013-370:01 公告中所提及。

 Tomcat 是在正式參照實作 Java Servlet 和 JavaServer Pages 技術時所用的 servlet 容器。Java Servlet 和 JavaServer Pages 規格是由 Sun 依據 Java Community Process 所開發。
 Tomcat 是在開放和參與式的環境中開發並在 Apache 軟體授權下發布。Tomcat 旨在成為全球最佳開發人員的協作項目。
 誠邀您參與此開放式開發專案。如要了解有關參與的更多資訊,請按一下此處。
 此版本修正的安全性問題
 CVE-2012-3546 在 Apache Tomcat 6.x 之前的 6.0.36 和 7.x 之前的 7.0.30中當使用 FORM 驗證時org/apache/catalina/realm/RealmBase.java 允許遠端攻擊者利用先前的 setUserPrincipal 呼叫繞過安全性限制檢查以及然後將 /j_security_check 放在 URI 的結尾。
 CVE-2012-5885 在 Apache Tomcat 之前的 5.5.x5.5.36[] 之前的 、 6.x 之前的 6.0.36和 7.x 之前的 7.0.30 中HTTP Digest Access Authentication 實作的重播反制功能會追踪 cnonce (即用戶端 nonce) 值而不是 nonce (即伺服器 nonce) ) 和 nc (即 nonce-count) 值這使得遠端攻擊者更容易竊聽網路的有效要求從而繞過預定的存取限制此弱點與 CVE-2011-1184不同。
 CVE-2012-5886 在 Apache Tomcat 5.5.x 之前的 5.5.36、 6.x 之前的 6.0.36以及 7.x 之前的 7.0.30 中HTTP Digest Access Authentication 實作會快取工作階段狀態中經驗證使用者的相關資訊使遠端攻擊者更容易繞過驗證透過與工作階段 ID 相關的向量。
 CVE-2012-5887 在 Apache Tomcat 5.5.x 之前的 5.5.36、 6.x 之前的 6.0.36和 7.x 之前的 7.0.30 中HTTP Digest Access Authentication 實作在強制執行適當認證時未正確檢查過時 nonce 值導致攻擊者可探查網路的有效要求進而繞過預定的存取限制。
 修正的錯誤:
 現在只有在使用者需要時才會呼叫 RELINK 指令碼這可在 RELINK 指令碼正在執行的情況下於 Tomcat 啟動期間發生問題時解決部分潛在的資料遺失視窗。
 之前tomcat 伺服器會移除 cookie 名稱的單引號或雙引號但 cookie 值在傳送至 servlet 時會顯示空白。這個問題已修正。
 OPTION 要求未將 TRACE 方法傳回為允許的方法且錯誤地將 TRACE 報告為允許的方法。這個問題已修正。
 在之前如果 context.xml 檔案未指定 docBase 內容Tomcat 會因 NullPointerException 而損毀。現已處理此情況且內容的路徑名稱會當作 docBase 使用。Reminder 部署內容時必須提供 docBase 屬性。
 在 IBM S/390 和 64 位元 PowerPC 系統上Tomcat 管理工具因 HTTP 404 而損毀且存取失敗這是因為 JSP 預先編譯已停用。JSP 現已預先編譯可防止在運行時間進行編譯且可存取 Tomcat 管理工具。
 當使用 Web 應用程式部署內容且存在 etc/localhost/[webapp].xml 檔案時tomcat 報告 NullPointerException此問題已修正。
 在 Tomcat 中新增遺漏的 tomcat-juli.jar 程式庫其可防止 java.util.logging 運作。
 /etc/init.d/tomcat5 指令碼在停止時傳回錯誤的結束狀態。這個問題已修正。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/4018

Plugin 詳細資訊

嚴重性: Medium

ID: 290018

檔案名稱: miracle_linux_AXSA-2013-370.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.7

Vendor

Vendor Severity: High

CVSS v2

風險因素: Medium

基本分數: 5

時間性分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2012-5887

CVSS v3

風險因素: Medium

基本分數: 5.3

時間性分數: 4.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:tomcat5-server-lib, p-cpe:/a:miracle:linux:tomcat5-jsp-2.0-api-javadoc, p-cpe:/a:miracle:linux:tomcat5-webapps, p-cpe:/a:miracle:linux:tomcat5-common-lib, p-cpe:/a:miracle:linux:tomcat5-jasper-javadoc, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:tomcat5-jsp-2.0-api, p-cpe:/a:miracle:linux:tomcat5-servlet-2.4-api-javadoc, p-cpe:/a:miracle:linux:tomcat5-servlet-2.4-api, p-cpe:/a:miracle:linux:tomcat5-admin-webapps, p-cpe:/a:miracle:linux:tomcat5-jasper, p-cpe:/a:miracle:linux:tomcat5

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/4/10

弱點發布日期: 2012/11/6

參考資訊

CVE: CVE-2012-3546, CVE-2012-5885, CVE-2012-5886, CVE-2012-5887