GLSA-202208-34：Apache Tomcat：多个漏洞

high Nessus 插件 ID 164434

语言：

描述

远程主机受到 GLSA-202208-34 中所述漏洞的影响（Apache Tomcat：多个漏洞）

- 在响应新的 h2c 连接请求时，Apache Tomcat 版本 10.0.0-M1 到 10.0.0、9.0.0.M1 到 9.0.41 和 8.5.0 到 8.5.61 可将请求标头和有限的请求正文从一个请求复制到另一个请求中，这意味着用户 A 和用户 B 都可以看到用户 A 的请求结果。
(CVE-2021-25122)

- 针对 CVE-2020-9484 的修复不完整。- 使用 Apache Tomcat 10.0.0-M1 到 10.0.0、9.0.0.M1 到 9.0.41、8.5.0 到 8.5.61 或 7.0.0. 到 7.0.107 处理极不可能遇到的配置边缘情况时，Tomcat 实例仍然容易受到 CVE-2020-9494 的影响。请注意，之前发布的 CVE-2020-9484 先决条件和之前发布的 CVE-2020-9484 缓解措施同样适用于此问题。(CVE-2021-25329)

- Apache Tomcat 中有一个漏洞允许攻击者远程触发拒绝服务攻击。为改进非阻塞 I/O 期间的错误处理而引入一个错误，即程序未在请求之间重置与 Request 对象相关联的错误标记。换言之，一旦发生非阻塞 I/O 错误，该请求对象以后处理的所有请求都将失败。用户能够触发非阻塞 I/O 错误（例如通过终止连接），从而可能触发 DoS。不使用非阻塞 I/O 的应用程序不会受到此漏洞的影响。此问题影响 Apache Tomcat 10.0.3 至 10.0.4、9.0.44、8.5.64。(CVE-2021-30639)

- Apache Tomcat JNDI Realm 中的漏洞允许攻击者使用有效用户名的变体进行认证和/或绕过 LockOut Realm 提供的某些保护。此问题影响 Apache Tomcat 10.0.0-M1 至 10.0.5；9.0.0.M1 至 9.0.45；8.5.0 至 8.5.65。(CVE-2021-30640)

- Apache Tomcat 10.0.0-M1 至 10.0.6、9.0.0.M1 至 9.0.46 和 8.5.0 至 8.5.66 在某些情况下未正确解析 HTTP 传输编码请求标头，导致可能在与反向代理一起使用时触发请求走私攻击。特别地：- 如果客户端声明只接受 HTTP/1.0 响应，Tomcat 会错误地忽略传输编码标头；- Tomcat 遵从身份编码；
以及 - Tomcat 未确保分块编码（如果存在）是最终编码。
(CVE-2021-33037)

- 针对 Apache Tomcat 10.1.0-M1 到 10.1.0-M5、10.0.0-M1 到 10.0.11、9.0.40 到 9.0.53 和 8.5.60 到 8.5.71 中存在的缺陷 63362 的补丁引入了内存泄漏。引入用于收集 HTTP 升级连接指标的对象在连接关闭后未释放用于 WebSocket 连接。这造成了内存泄漏，随着时间的推移，可通过 OutOfMemoryError 导致拒绝服务。
(CVE-2021-42340)

- 在 Apache Tomcat 10.1.0-M1 至 10.1.0-M16、10.0.0-M1 至 10.0.22、 9.0.30 至 9.0.64 和 8.5.50 至 8.5.81 版本中，Web 应用程序示例中的表单身份验证示例显示用户提供的数据，而没有筛选，暴露出一个 XSS 漏洞。 (CVE-2022-34305)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

所有 Apache Tomcat 10.x 用户皆应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-servers/tomcat-10.0。23:10 所有 Apache Tomcat 9.x 用户皆应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-servers/tomcat-9.0。65:9 所有 Apache Tomcat 8.5.x 用户皆应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=www-servers/tomcat-8.5.82:8.5