检测

MagicLinux 7tomcat-7.0.69-12.el7 (AXSA:2017-1748:02)

critical Nessus 插件 ID 289381

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2017-1748:02 公告中提及的多个漏洞的影响。

 Tomcat 是用于正式的 Java Servlet 和 JavaServer Pages 技术引用实现中的 servlet 容器。
 Java Servlet 和 JavaServer Pages 规范由 Sun 在 Java Community Process 下制定。
 Tomcat 在开放和参与的环境中开发,并在 Apache 软件许可协议版本 2.0 下发布。Tomcat 的目标是成为全球最佳开发人员的协作平台。
 此版本修复的安全问题
 CVE-2017-5648 在调查缺陷 60718 时已注意到 Apache Tomcat 中对应用程序侦听器的某些调用 9.0.0.M1 转换为 9.0.0。M17、 8.5.0 至 8.5.11、 8.0.0.RC1 至 8.0.41以及 7.0.0 至 7.0.75 未使用适当的 facade 对象。在 SecurityManager 下运行不受信任的应用程序时,不受信任的应用程序可能会保留对请求或响应对象的引用,从而访问和/或修改与其他 Web 应用程序相关的信息。
 CVE-2017-5664 Java Servlet Specification 的错误页面机制要求当发生错误且已为发生的错误配置错误页面时原始请求和响应将被转发至该错误页面。这意味着使用原始 HTTP 方法在错误页面呈现请求。若错误页面是静态文件,按理应是提供文件内容,如同处理 GET 请求,无论实际 HTTP 方式如何。9.0.0.M1 至 9.0.0.M20、8.5.0 至 8.5.14、8.0.0.RC1 至 8.0.43、7.0.0 至 7.0.77 版本的 Apache Tomcat 中的默认 Servlet 未执行此操作。
 根据原始请求,这可能会导致静态错误页面产生意外结果和不良结果,包括替换或删除自定义错误页面(如果 DefaultServlet 配置为允许写入)。关于用户提供的其他错误页面的注释:(1) 除非另外明确编码,否则 JSP 会忽略 HTTP 方法。用作错误页面的 JSP 必须确保其将任何错误分派作为 GET 请求来处理而无论实际方法为何。
 (2) 默认情况下Servlet 生成的响应依赖于 HTTP 方法。用作错误页面的自定义 Servlet 必须确保将任何错误分派作为 GET 请求来处理而无论实际方法为何。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/8180

插件详情

严重性: Critical

ID: 289381

文件名: miracle_linux_AXSA-2017-1748.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

Vendor

Vendor Severity: High

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2017-5648

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:tomcat-admin-webapps, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:tomcat-lib, p-cpe:/a:miracle:linux:tomcat-webapps, p-cpe:/a:miracle:linux:tomcat-el-2.2-api, p-cpe:/a:miracle:linux:tomcat, p-cpe:/a:miracle:linux:tomcat-jsp-2.2-api, p-cpe:/a:miracle:linux:tomcat-servlet-3.0-api

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2017/7/27

漏洞发布日期: 2017/4/10

参考资料信息

CVE: CVE-2017-5648, CVE-2017-5664