Amazon Linux AMI:tomcat6 (ALAS-2016-656)

high Nessus Plugin ID 89837
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 3.6

Synopsis

遠端 Amazon Linux AMI 主機缺少一個安全性更新。

描述

據發現,運算式語言解析器在有權限的程式碼區段中評估運算式。惡意的 Web 應用程式可利用此瑕疵繞過安全性管理員保護。(CVE-2014-7810)

據發現,Tomcat 在處理要求內文足夠大的要求之後會保持連線開啟。遠端攻擊者可能利用此瑕疵耗盡可用連線集區,並進一步妨礙至 Tomcat 伺服器的合法連線。(CVE-2014-0230)

解決方案

執行「yum update tomcat6」以更新系統。

另請參閱

https://alas.aws.amazon.com/ALAS-2016-656.html

Plugin 詳細資訊

嚴重性: High

ID: 89837

檔案名稱: ala_ALAS-2016-656.nasl

版本: 2.2

類型: local

代理程式: unix

已發布: 2016/3/11

已更新: 2018/4/18

相依性: ssh_get_info.nasl

風險資訊

風險因素: High

VPR 評分: 3.6

CVSS v2.0

基本分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

弱點資訊

CPE: cpe:2.3:o:amazon:linux:*:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-admin-webapps:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-docs-webapp:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-el-2.1-api:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-javadoc:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-jsp-2.1-api:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-lib:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-servlet-2.5-api:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-webapps:*:*:*:*:*:*:*

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

修補程式發佈日期: 2016/3/10

參考資訊

CVE: CVE-2014-7810, CVE-2014-0230

ALAS: 2016-656