检测

Amazon Linux 2 : tomcat (ALASTOMCAT9-2025-015)

critical Nessus 插件 ID 214622

语言:

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 tomcat 版本低于 9.0.98-1。因此,该软件受到 ALAS2TOMCAT9-2025-015 公告中提及的多个漏洞影响。

 在 Apache Tomcat 的 JSP 编译期间,如果已为写入启用默认 servlet(非默认配置),则检查时间/使用时间 (TOCTOU) 争用条件漏洞允许在不区分大小写的特定文件系统上触发 RCE。

 此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.1、10.1.0-M1 至 10.1.33、9.0.0.M1 至 9.0.97。

 建议用户升级到已修复此问题的 11.0.2、10.1.34 或 9.0.98 版本。
 (CVE-2024-50379)

 Apache Tomcat 中未检查的错误条件漏洞。如果 Tomcat 配置为使用自定义 Jakarta 身份验证(旧称 JASPIC)ServerAuthContext 组件,其可能会在未明确设置表示失败的 HTTP 状态的情况下于身份验证过程中返回异常,导致身份验证可能不会失败,从而允许用户绕过身份验证过程。任何已知 Jakarta 身份验证组件均不会以这种方式运行。

 此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.0-M26、10.1.0-M1 至 10.1.30、9.0.0-M1 至 9.0.95。

 建议用户升级到已修复此问题的 11.0.0、10.1.31 或 9.0.96 版本。
 (CVE-2024-52316)

 在 Apache Tomcat 随附的示例 Web 应用程序中,不受控制的资源消耗漏洞会导致拒绝服务。

 此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.1、10.1.0-M1 至 10.1.33、9.0.0.M1 至 9.9.97。

 建议用户升级到已修复此问题的 11.0.2、10.1.34 或 9.0.98 版本。
 (CVE-2024-54677)

 Apache Tomcat 中存在检查时间/使用时间 (TOCTOU) 争用条件漏洞。

 此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.1、10.1.0-M1 至 10.1.33、9.0.0.M1 至 9.0.97。

 针对 CVE-2024-50379 的修复不完整。

 在启用默认 servlet 写入(将只读初始化参数设置为非默认值 false)且不区分大小写的文件系统上运行 Tomcat 的用户可能需要进行额外配置,以完全修复 CVE-2024-50379 所述问题,具体情况取决于他们在 Tomcat 中使用的 Java 版本:- 以 Java 8 或 Java 11 运行:系统属性 sun.io.useCanonCaches 必须明确设置为 false(默认为 true)- 以 Java 17 运行:系统属性 sun.io.useCanonCaches(如有设置)必须设置为 false(默认为 false)- 以 Java 21 及更高版本运行:无需进行进一步配置(已删除相关系统属性和存在问题的缓存)

 Tomcat 11.0.3、10.1.35 和 9.0.99 及更高版本将检查 sun.io.useCanonCaches 是否设置正确,然后才允许在不区分大小写的文件系统上针对写入启用默认 servlet。
 Tomcat 还会在默认情况下将 sun.io.useCanonCaches 设置为 false。(CVE-2024-56337)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“yum update tomcat”以更新系统。

另见

https://alas.aws.amazon.com/AL2/ALASTOMCAT9-2025-015.html

https://alas.aws.amazon.com/faqs.html

https://alas.aws.amazon.com/cve/html/CVE-2024-50379.html

https://alas.aws.amazon.com/cve/html/CVE-2024-52316.html

https://alas.aws.amazon.com/cve/html/CVE-2024-54677.html

https://alas.aws.amazon.com/cve/html/CVE-2024-56337.html

插件详情

严重性: Critical

ID: 214622

文件名: al2_ALASTOMCAT9-2025-015.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2025/1/24

最近更新时间: 2025/3/13

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-54677

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2024-56337

漏洞信息

CPE: p-cpe:/a:amazon:linux:tomcat-jsp-2.3-api, p-cpe:/a:amazon:linux:tomcat-lib, p-cpe:/a:amazon:linux:tomcat-servlet-4.0-api, p-cpe:/a:amazon:linux:tomcat-webapps, p-cpe:/a:amazon:linux:tomcat-el-3.0-api, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:tomcat-jsvc, p-cpe:/a:amazon:linux:tomcat-admin-webapps, p-cpe:/a:amazon:linux:tomcat-docs-webapp, p-cpe:/a:amazon:linux:tomcat

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2025/1/21

漏洞发布日期: 2024/10/9

参考资料信息

CVE: CVE-2024-50379, CVE-2024-52316, CVE-2024-54677, CVE-2024-56337

IAVA: 2024-A-0754-S, 2024-A-0822-S