Mandriva Linux 安全性公告:tomcat6 (MDVSA-2014:042)

medium Nessus Plugin ID 72595
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

描述

更新版 tomcat6 套件可修正安全性弱點:

據發現,Tomcat 無法正確處理使用區塊傳輸編碼提交的某些要求。遠端攻擊者可利用此瑕疵造成 Tomcat 伺服器停止回應,進而導致拒絕服務 (CVE-2012-3544)。

在 Oracle Java SE 7 Update 21 與之前版本、6 Update 45 與之前版本,以及 5.0 Update 45 與之前版本;JavaFX 2.2.21 與之前版本;以及 OpenJDK 7 中,Javadoc 元件內存有一個框架插入問題,允許遠端攻擊者透過與 Javadoc 相關的未知向量影響完整性 (CVE-2013-1571)。

在 tomcat6 init 指令碼處理 tomcat6-initd.log 記錄檔的方式中發現一個瑕疵。Tomcat 上部署的惡意 Web 應用程式可利用此瑕疵執行符號連結攻擊,將任意系統檔案的擁有權變更為 tomcat 使用者的擁有權,使其得以將權限提升為 root (CVE-2013-1976)。

據發現,Tomcat 並未正確處理特定驗證要求。遠端攻擊者可能利用此瑕疵,插入能以受害者認證執行的要求 (CVE-2013-2067)。

注意:透過此更新,會將 tomcat6-initd.log 從 /var/log/tomcat6/ 移至 /var/log/ 目錄。

解決方案

更新受影響的套件。

另請參閱

http://advisories.mageia.org/MGASA-2014-0082.html

Plugin 詳細資訊

嚴重性: Medium

ID: 72595

檔案名稱: mandriva_MDVSA-2014-042.nasl

版本: 1.12

類型: local

已發布: 2014/2/20

已更新: 2021/1/6

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 6.6

CVSS v2

風險因素: Medium

基本分數: 6.9

時間分數: 6

媒介: AV:L/AC:M/Au:N/C:C/I:C/A:C

時間媒介: E:H/RL:OF/RC:ND

弱點資訊

CPE: p-cpe:/a:mandriva:linux:tomcat6, p-cpe:/a:mandriva:linux:tomcat6-admin-webapps, p-cpe:/a:mandriva:linux:tomcat6-docs-webapp, p-cpe:/a:mandriva:linux:tomcat6-el-2.1-api, p-cpe:/a:mandriva:linux:tomcat6-javadoc, p-cpe:/a:mandriva:linux:tomcat6-jsp-2.1-api, p-cpe:/a:mandriva:linux:tomcat6-lib, p-cpe:/a:mandriva:linux:tomcat6-servlet-2.5-api, p-cpe:/a:mandriva:linux:tomcat6-systemv, p-cpe:/a:mandriva:linux:tomcat6-webapps, cpe:/o:mandriva:business_server:1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/2/19

參考資訊

CVE: CVE-2012-3544, CVE-2013-1571, CVE-2013-1976, CVE-2013-2067

BID: 59797, 59799, 60186, 60634

MDVSA: 2014:042