Amazon Linux 2:tomcat,--advisory ALAS2TOMCAT9-2026-026 (ALASTOMCAT9-2026-026)
critical Nessus 插件 ID 319807
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 tomcat 版本低于 9.0.118-1。因此,该软件受到 ALAS2TOMCAT9-2026-026 公告中提及的多个漏洞影响。Apache Tomcat 中无限制或节流的资源分配漏洞。
此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.0.M1 至 9.0.117。不支持的更早版本也可能会受到影响。
建议用户升级到已修复此问题的 [FIXED_VERSION] 版本。(CVE-2026-41284)
Apache Tomcat 中的不当输入验证漏洞。
此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.0.M1 至 9.0.117、10.0.0-M1 至 10.0.27。已停止支持的更早版本也可能会受到影响。
建议用户升级到已修复此问题的 [FIXED_VERSION] 版本。(CVE-2026-41293)
在 Apache Tomcat 中,WebSocket 认证期间向非预期主机暴露 HTTP 认证标头。
此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.2 至 9.0.117、8.5.24 至 8.5.100,到 7.0.83 至 7.0.109。
建议用户升级到已修复此问题的 11.0.22、10.1.55 或 9.0.118 版本。
(CVE-2026-42498)
已弃用:认证绕过问题 Apache Tomcat 的摘要式认证中的漏洞。
此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.0.M1 至 9.0.117、8.5.0 至 8.5.100,7.0.0。不支持的更早版本也可能会受到影响
建议用户升级到已修复此问题的版本 11.0.22、10.1.55或9.0.118。
(CVE-2026-43512)
对 Apache Tomcat 的 LockOutRealm 中区分大小写漏洞的不当处理。
此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.0.M1 至 9.0.117、8.5.0 至 8.5.100、7.0.0至 7.0.109。不支持的更早版本也可能会受到影响。
建议用户升级到已修复此问题的版本 11.0.22、10.1.55或9.0.118。
(CVE-2026-43513)
- Apache Tomcat 在比较 AJP 密钥时存在可观测的时序差异漏洞。
此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.0.M1 至 9.0.117、8.5.0 至 8.5.100、7.0.0至 7.0.109。不支持的更早版本也可能会受到影响。
建议用户升级到已修复此问题的版本 11.0.22、10.1.55或9.0.118。
(CVE-2026-43514)
多种方法限制为 Apache Tomcat 中的同一扩展定义 HTTP 方法时,存在不当授权漏洞。
此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.0.M1 至 9.0.117、8.5.0 至 8.5.100,到 7.0.0 至 7.0.109。
建议用户升级到已修复此问题的版本 11.0.22、10.1.55或9.0.118。
(CVE-2026-43515)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“yum update tomcat”或“yum update --advisory ALAS2TOMCAT9-2026-026”以更新系统。另见
https://alas.aws.amazon.com//AL2/ALAS2TOMCAT9-2026-026.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-41284.html
https://explore.alas.aws.amazon.com/CVE-2026-41293.html
https://explore.alas.aws.amazon.com/CVE-2026-42498.html
https://explore.alas.aws.amazon.com/CVE-2026-43512.html
https://explore.alas.aws.amazon.com/CVE-2026-43513.html
插件详情
严重性: Critical
ID: 319807
文件名: al2_ALASTOMCAT9-2026-026.nasl
版本: 1.2
类型: Local
代理: unix
发布时间: 2026/6/8
最近更新时间: 2026/6/10
支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2026-43512
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:tomcat, p-cpe:/a:amazon:linux:tomcat-admin-webapps, p-cpe:/a:amazon:linux:tomcat-docs-webapp, p-cpe:/a:amazon:linux:tomcat-jsvc, p-cpe:/a:amazon:linux:tomcat-lib, p-cpe:/a:amazon:linux:tomcat-webapps, p-cpe:/a:amazon:linux:tomcat-el-3.0-api, p-cpe:/a:amazon:linux:tomcat-jsp-2.3-api, p-cpe:/a:amazon:linux:tomcat-servlet-4.0-api
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2026/6/8
漏洞发布日期: 2026/5/5
参考资料信息
CVE: CVE-2026-41284, CVE-2026-41293, CVE-2026-42498, CVE-2026-43512, CVE-2026-43513, CVE-2026-43514, CVE-2026-43515
IAVA: 2026-A-0475