Apache Tomcat 7.0.0 < 7.0.100 多个漏洞

critical Nessus 插件 ID 197843

语言：

简介

远程 Apache Tomcat 服务器受到多个漏洞的影响

描述

远程主机上安装的 Tomcat 版本低于 7.0.100。因此，它受到 fixed_in_apache_tomcat_7.0.100_security-7 公告中提及的多个漏洞影响。

- 当使用 Apache JServ Protocol (AJP) 时，当信任 Apache Tomcat 的传入连接时必须谨慎。Tomcat 将 AJP 连接视为比类似的 HTTP 连接（例如）具有更高的信任度。如果攻击者可使用此类连接，则他们会以惊人的方式利用此类连接。在 Apache Tomcat 9.0.0.M1 至 9.0.0.30、8.5.0 至 8.5.50 以及 7.0.0 至 7.0.99 中，Tomcat 附带有默认已启用的 AJP 连接器，该连接器侦听所有配置的 IP 地址。预期（安全指南中建议）此连接器将在不需要的时候禁用。此漏洞报告确定了允许以下内容的一种机制：- 从 web 应用程序中任意位置返回任意文件 - 作为 JSP 处理 web 应用程序中的任意文件。并且，如果 web 应用程序允许文件上传并在 web 应用程序中存储这些文件（或攻击者能够通过某些其他方式控制 web 应用程序的内容），则结合作为 JSP 处理文件的能力，共同使远程代码执行成为可能。需要注意的是，仅当 AJP 端口可供不受信任的用户访问时才需要缓解。希望采取深度防御方式并阻止允许返回任意文件并作为 JSP 执行之向量的用户可能会升级至 Apache Tomcat 9.0.31、8.5.51 或 7.0.100 或更高版本。9.0.31 中的默认 AJP 连接器配置做出许多更改，以强化默认配置。升级至 9.0.31、8.5.51 或 7.0.100 或更高版本的用户好像需要对其配置做出细微更改。
(CVE-2020-1938)

- 在 Apache Tomcat 9.0.0.M1 至 9.0.30、8.5.0 至 8.5.50 以及 7.0.0 至 7.0.99 中，解析代码的 HTTP 标头使用了一种行尾解析方法，该方法允许某些无效 HTTP 标头解析为有效。如果 Tomcat 位于反向代理后面，而反向代理以特定方式错误地处理了无效的传输编码标头，则可能导致 HTTP 请求走私。此种反向代理被认为是不可能的。(CVE-2020-1935)

- Apache Tomcat 9.0.28 至 9.0.30、8.5.48 至 8.5.50 以及 7.0.98 至 7.0.99 中存在的重构引入了回归。回归的结果便是无效传输编码标头被错误处理，如果 Tomcat 位于反向代理后面，而反向代理以特定方式错误地处理了无效的传输编码标头，则可能导致 HTTP 请求走私。此种反向代理被认为是不可能的。(CVE-2019-17569)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。