Apache Tomcat 9.0.0.M1 < 9.0.0.M10 多个漏洞

critical Nessus 插件 ID 197842

语言：

简介

远程 Apache Tomcat 服务器受到多个漏洞的影响

描述

远程主机上安装的 Tomcat 版本低于 9.0.0.M10。因此，它受到 fixed_in_apache_tomcat_9.0.0.m10_security-9 公告中提及的多个漏洞影响。

- 在 Apache Tomcat 9.0.0.M1 至 9.0.0.M9、8.5.0 至 8.5.4、8.0.0.RC1 至 8.0.36、7.0.0 至 7.0.70 以及 6.0.0 至 6.0.45 版本中，ResourceLinkFactory 实现未将 Web 应用程序对全局 JNDI 资源的访问限制为明确链接至 Web 应用程序的资源。因此，Web 应用程序可能会访问任何全局 JNDI 资源，无论是否已配置明确的 ResourceLink。(CVE-2016-6797)

- 运行在 Apache Tomcat 9.0.0.M1 至 9.0.0.M9、8.5.0 至 8.5.4、8.0.0.RC1 至 8.0.36、7.0.0 至 7.0.70 以及 6.0.0 至 6.0.45 版本上的恶意 Web 应用程序，可通过操作 JSP Servlet 的配置参数，绕过已配置的 SecurityManager。(CVE-2016-6796)

- 配置 SecurityManager 时，Web 应用程序读取系统属性的能力应该受到 SecurityManager 的控制。在 Apache Tomcat 9.0.0.M1 至 9.0.0.M9、8.5.0 至 8.5.4、8.0.0.RC1 至 8.0.36、7.0.0 至 7.0.70 以及 6.0.0 至 6.0.45 版本中，恶意 Web 应用程序可使用配置文件的 Tomcat 系统属性替换功能，绕过 SecurityManager 并读取不可见的系统属性。(CVE-2016-6794)

- 在 Apache Tomcat 9.0.0.M1 至 9.0.0.M9、8.5.0 至 8.5.4、8.0.0.RC1 至 8.0.36、7.0.0 至 7.0.70 以及 6.0.0 至 6.0.45 版本中，恶意 Web 应用程序可以通过 Tomcat 实用工具方式（可访问 Web 应用程序），绕过已配置的 SecurityManager。(CVE-2016-5018)

- 如果提供的用户名不存在，则 Apache Tomcat 9.0.0.M1 至 9.0.0.M9、8.5.0 至 8.5.4、8.0.0.RC1 至 8.0.36、7.0.0 至 7.0.70 以及 6.0.0 至 6.0.45 版本中的 Realm 实现不会处理提供的密码。这可能造成计时攻击判断出有效的用户名。请注意，默认配置包括可使该漏洞更难以利用的 LockOutRealm。
(CVE-2016-0762)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。