GLSA-201206-24 : Apache Tomcat:多個弱點
medium Nessus Plugin ID 59677
語系:
概要
遠端 Gentoo 主機缺少一個或多個與安全性相關的修補程式。說明
遠端主機受到 GLSA-201206-24 中所述的弱點影響 (Apache Tomcat:多個弱點)在 Apache Tomcat 中發現多個弱點。如需詳細資訊,請檢閱以下提及的 CVE 識別碼。
影響:
這些弱點允許攻擊者透過讀取記錄檔造成拒絕服務、劫持工作階段、繞過驗證、插入 Web 指令碼、列舉有效的使用者名稱、讀取、修改和覆寫任意檔案、繞過預定的存取限制、刪除工作目錄檔案、探索伺服器的主機名稱或 IP、繞過檔案或 HTTP 標頭的讀取權限、讀取或寫入預定工作目錄以外的檔案,以及取得敏感資訊。
因應措施:
目前尚無已知的因應措施。
解決方案
所有 Apache Tomcat 6.0.x 使用者皆應升級至最新版本:# emerge --sync # emerge --ask --oneshot --verbose '>=www-servers/tomcat-6.0.35' 所有 Apache Tomcat 7.0.x 使用者皆應升級至最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=www-servers/tomcat-7.0.23'
另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 59677
檔案名稱: gentoo_GLSA-201206-24.nasl
版本: 1.20
類型: local
已發布: 2012/6/25
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.2
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 6.2
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
風險因素: Medium
基本分數: 4.2
時間分數: 3.9
媒介: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L
時間媒介: CVSS:3.0/E:F/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:gentoo:linux:tomcat, cpe:/o:gentoo:linux
必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2012/6/24
可惡意利用
CANVAS (D2ExploitPack)
Core Impact
參考資訊
CVE: CVE-2008-5515, CVE-2009-0033, CVE-2009-0580, CVE-2009-0781, CVE-2009-0783, CVE-2009-2693, CVE-2009-2901, CVE-2009-2902, CVE-2010-1157, CVE-2010-2227, CVE-2010-3718, CVE-2010-4172, CVE-2010-4312, CVE-2011-0013, CVE-2011-0534, CVE-2011-1088, CVE-2011-1183, CVE-2011-1184, CVE-2011-1419, CVE-2011-1475, CVE-2011-1582, CVE-2011-2204, CVE-2011-2481, CVE-2011-2526, CVE-2011-2729, CVE-2011-3190, CVE-2011-3375, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022
BID: 51442, 51447, 35193, 35196, 35263, 35416, 37942, 37944, 37945, 39635, 41544, 45015, 46164, 46174, 46177, 46685, 47196, 47199, 47886, 48456, 48667, 49143, 49147, 49353, 49762, 51200