Apache Tomcat 跨應用程式檔案操作

medium Nessus Plugin ID 39479

概要

在遠端主機上執行的 Web 伺服器受到一個資訊洩漏弱點影響。

說明

根據其自我報告的版本編號,遠端主機正在執行有弱點的 Apache Tomcat 版本。受影響的版本允許 Web 應用程式取代用來處理其他應用程式 XML 和 TLD 檔案的 XML 剖析器。這可讓惡意 Web 應用程式讀取或修改任意 Web 應用程式的「Web.xml」、「context.xml」或 TLD 檔案。

解決方案

升級至 7.0.19/6.0.20/5.5.28/4.1.40 版或更新版本。
或者,套用廠商公告中所述的修補程式。

另請參閱

https://bz.apache.org/bugzilla/show_bug.cgi?id=29936

https://www.securityfocus.com/archive/1/504090

http://tomcat.apache.org/security-6.html

http://tomcat.apache.org/security-5.html

http://tomcat.apache.org/security-4.html

Plugin 詳細資訊

嚴重性: Medium

ID: 39479

檔案名稱: tomcat_xml_parser.nasl

版本: 1.27

類型: combined

代理程式: windows, macosx, unix

系列: Web Servers

已發布: 2009/6/22

已更新: 2024/5/6

組態: 啟用徹底檢查

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.4

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2009-0783

CVSS v3

風險因素: Medium

基本分數: 5.9

時間分數: 5.2

媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:apache:tomcat:4, cpe:/a:apache:tomcat:5, cpe:/a:apache:tomcat:6, cpe:/a:apache:tomcat:7

必要的 KB 項目: installed_sw/Apache Tomcat

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2009/6/4

參考資訊

CVE: CVE-2009-0783

BID: 35416

CWE: 200

SECUNIA: 35326, 35344