检测

MagicLinux 7tomcat-7.0.54-8.el7 (AXSA:2016-704:01)

high Nessus 插件 ID 289327

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2016-704:01 公告中提及的多个漏洞的影响。

 Tomcat 是用于正式的 Java Servlet 和 JavaServer Pages 技术引用实现中的 servlet 容器。
 Java Servlet 和 JavaServer Pages 规范由 Sun 在 Java Community Process 下制定。
 Tomcat 在开放和参与的环境中开发,并在 Apache 软件许可协议版本 2.0 下发布。Tomcat 的目标是成为全球最佳开发人员的协作平台。
 此版本修复的安全问题
 CVE-2014-7810 在低于 [] 的 Apache Tomcat 6.x6.0.44、低于 7.0.58的 Apache Tomcat 7.x 以及低于 8.0.168.x 的 Apache Tomcat [] 中表达式语言 (EL) 实现未正确考虑由不可访问的类实现可访问界面的可能性这允许攻击者通过在 EL 评估期间利用不正确权限的 Web 应用程序绕过 SecurityManager 保护机制。
 CVE-2015-5346 低于 [] 的 Apache Tomcat 7.x7.0.66、低于 8.0.30的 Apache Tomcat 8.x 以及低于 [ 9.x 的 9.0.0.M2中的会话固定漏洞在同一 Web 应用程序的多个版本的部署使用不同的会话设置时可能允许远程攻击者劫持利用 requestedSessionSSL 字段进行非预期请求造成的 web 会话与 CoyoteAdapter.java 和 Request.java 相关。
 CVE-2016-5388 Apache Tomcat 到 8.5.4在启用了 CGI Servlet 时遵循 RFC 3875 第 4.1.18 节因此不会针对 HTTP_PROXY 环境变量中存在的不受信任的客户端数据保护应用程序可能允许远程攻击者对应用程序的出站进行重定向通过 HTTP 请求中构建的 Proxy 标头连接到任意代理服务器的 HTTP 流量又称为 httpoxy 问题。
 注意供应商称 缓解计划用于跟踪 CVE-2016-5388的 Tomcat 的未来版本。换言之这不是漏洞的 CVE ID。
 CVE-2016-5425
 ** 已预留 ** 该候选编码已被某个组织或个人预留,将在公告新的安全问题时使用。在公布候选编码时,将提供该候选编码的详情。
 CVE-2016-6325
 ** 已预留 ** 该候选编码已被某个组织或个人预留,将在公告新的安全问题时使用。在公布候选编码时,将提供该候选编码的详情。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/7136

插件详情

严重性: High

ID: 289327

文件名: miracle_linux_AXSA-2016-704.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.4

Vendor

Vendor Severity: High

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 6

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2016-6325

CVSS v3

风险因素: High

基本分数: 8.1

时间分数: 7.5

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2016-5388

漏洞信息

CPE: p-cpe:/a:miracle:linux:tomcat-admin-webapps, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:tomcat-lib, p-cpe:/a:miracle:linux:tomcat-webapps, p-cpe:/a:miracle:linux:tomcat-el-2.2-api, p-cpe:/a:miracle:linux:tomcat, p-cpe:/a:miracle:linux:tomcat-jsp-2.2-api, p-cpe:/a:miracle:linux:tomcat-servlet-3.0-api

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2016/10/11

漏洞发布日期: 2015/1/16

参考资料信息

CVE: CVE-2014-7810, CVE-2015-5346, CVE-2016-5388, CVE-2016-5425, CVE-2016-6325

IAVB: 2016-B-0160-S