检测

MagicLinux 4tomcat6-6.0.24-33.AXS4 (AXSA:2011-642:02)

medium Nessus 插件 ID 284044

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2011-642:02 公告中提及的多个漏洞的影响。

 Tomcat 是用于正式的 Java Servlet 和 JavaServer Pages 技术引用实现中的 servlet 容器。Java Servlet 和 JavaServer Pages 规范由 Sun 在 Java Community Process 下制定。
 Tomcat 在开放和参与的环境中开发,并在 Apache 软件许可协议版本 2.0 下发布。Tomcat 的目标是成为全球最佳开发人员的协作平台。
 此版本修复的安全问题
 CVE-2010-3718 Apache Tomcat 7.0.0 到 7.0.3、 6.0.x和 5.5.x在 SecurityManager 中运行时没有将 ServletContext 属性设为只读从而允许本地 Web 应用程序在预期工作目录之外读取或写入文件。目录遍历攻击即为一例。
 CVE-2010-4172 Apache Tomcat 6.0.12 到 6.0.29 和 [ 7.0.0 到 7.0.4 中 Manager 应用程序内的多种跨站脚本 (XSS) 漏洞允许远程攻击者通过 (1) orderBy 或 (2) 排序注入任意 Web 脚本或 HTML sessionList.jsp 的参数或向 (3) sessionDetail.jsp 或 (4) java/org/apache/catalina/manager/JspHelper.java 提供不明输入此问题与使用不受信任的 Web 应用程序相关。
 CVE-2011-0013 低于 [] 的 Apache Software Foundation Tomcat 中 HTML Manager Interface 的多种跨站脚本 (XSS) 漏洞 7.07.0.6、低于 5.5.32] 的 5.5 以及低于 [ 6.0 的 6.0.30 允许远程攻击者注入任意 Web 脚本或 HTML如通过 display-name 标签所示。
 修复的缺陷:
 - 可以同时运行多个 Tomcat 实例。
 - 新增了指向 build-jar-repository 命令所需的 /usr/share/tomcat6/bin/tomcat-juli.jar 库的符号链接。
 - 此更新修改了 init 脚本使其正确运行而无论后台程序用户的登录 shell 为何内容从而防止出现以下错误消息此帐户当前无法使用。此外这些新的 tomcat6 程序包现在会按照部署最佳实践的建议在安装时将 /sbin/nologin 设置为 tomcat 用户的登录 shell。
 - 某些标准 Tomcat 目录缺少 tomcat 群组的写入权限。已修复此问题不再出现诸如“无输出文件夹”之类的错误。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/2359

插件详情

严重性: Medium

ID: 284044

文件名: miracle_linux_AXSA-2011-642.nasl

版本: 1.1

类型: local

发布时间: 2026/1/14

最近更新时间: 2026/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 2.9

Vendor

Vendor Severity: High

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.6

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2011-0013

CVSS v3

风险因素: Medium

基本分数: 4.3

时间分数: 4

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:tomcat6-lib, p-cpe:/a:miracle:linux:tomcat6, p-cpe:/a:miracle:linux:tomcat6-jsp-2.1-api, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:tomcat6-el-2.1-api, p-cpe:/a:miracle:linux:tomcat6-servlet-2.5-api

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2011/12/28

漏洞发布日期: 2010/11/22

可利用的方式

Core Impact

参考资料信息

CVE: CVE-2010-3718, CVE-2010-4172, CVE-2011-0013