远程主机上安装的 Apache Tomcat JK Connector (mod_jk) 版本为低于 1.2.46 的 1.2.x。因此，它受到一个访问控制绕过漏洞的影响，这是由于未正确处理 Apache Web 服务器专用的代码所致，而该代码在将请求的路径与 URI-worker 映射匹配之前便对其进行标准化处理。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

Raphael Arrouas 和 Jean Lejeune 发现，Tomcat Java servlet 引擎的 Apache 连接程序 mod_jk 中存在访问权限控制绕过漏洞。将 mod_jk 升级到新的上游版本 1.2.46 便可修复此漏洞，此版本还包括其他变更。- https://tomcat.apache.org/connectors-doc/miscellaneous/c hangelog.html#Changes_between_1.2.42_and_1.2.43 - https://tomcat.apache.org/connectors-doc/miscellaneous/c hangelog.html#Changes_between_1.2.43_and_1.2.44 - https://tomcat.apache.org/connectors-doc/miscellaneous/c hangelog.html#Changes_between_1.2.44_and_1.2.45 - https://tomcat.apache.org/connectors-doc/miscellaneous/c hangelog.html#Changes_between_1.2.45_and_1.2.46

Tomcat Java servlet 引擎的 Apache 2 连接程序 libapache-mod-jk 中发现漏洞。由于未正确处理 URL 规范化，libapache-mod-jk 连接程序容易受到信息泄露和权限提升。此修复的特点要求 Debian 8“Jessie”中的 libapache-mod-jk 更新到最新的上游版本。有关参考，请参照此处记录的各发行版本相关的上游调整：http://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html 对于 Debian 8“Jessie”，这一问题已在 1.2.46-0+deb8u1 版本中修复。我们建议您升级 libapache-mod-jk 程序包。注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动整理和排版。

更新可用于 RHEL 6 和 RHEL 7 的 JBoss Core Services。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。Red Hat JBoss Core Services 是 Red Hat JBoss 中间件产品的一套辅助软件。此软件，例如 Apache HTTP Server，对多个 JBoss 中间件产品通用，并在 Red Hat JBoss Core Services 下打包，以允许更快速的更新分发，并提供更一致的更新体验。此 Red Hat JBoss Core Services Apache HTTP Server 2.4.29 Service Pack 1 版本为 Red Hat JBoss Core Services Apache HTTP Server 2.4.29 版本的更新，并包含多项 CVE 缺陷修复，详情请参阅“参考”部分中的链接。安全修复：* httpd：通过持续的 SETTINGS 造成 HTTP/2 连接 DoS (CVE-2018-11763) * httpd：在 mod_auth_digest 中产生弱式摘要验证 nonce (CVE-2018-1312) * httpd：读取 HTTP 请求失败后造成越界访问 (CVE-2018-1301) * httpd：HTTP/2 流关闭时发生释放后使用 (CVE-2018-1302) * httpd：在文件名中使用结尾换行符绕过 (CVE-2017-15715) * httpd：在 mod_authnz_ldap 中使用太小的 Accept-Language 值时，发现越界写入 (CVE-2017-15710) * httpd：mod_cache_socache 中的越界读取可让远程攻击者造成拒绝服务 (CVE-2018-1303) * httpd：在 mod_session 中不当处理标头可让远程用户修改 CGI 应用程序的会话数据 (CVE-2018-1283) * httpd：mod_http2：配置给工作者过多时间，可能导致 DoS (CVE-2018-1333) * mod_jk：因不当处理 httpd 中的 HTTP 请求而造成连接器路径遍历 (CVE-2018-11759) * nghttp2：收到过大的 ALTSVC 框架时发生空指针取消引用 (CVE-2018-1000168) * openssl：处理特制递归 ASN.1 结构可导致堆栈溢出以及拒绝服务 (CVE-2018-0739) 有关此问题的详细信息，包括 CVE、问题严重程度和 CVSS 分数的相关信息，请参阅下方“参考”部分中列出的 CVE 页面。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
98522	Apache Tomcat JK Connector 1.2.x < 1.2.46 访问控制绕过	Web App Scanning	Component Vulnerability	2019/3/25	2023/3/14	high
119850	Debian DSA-4357-1：libapache-mod-jk - 安全更新	Nessus	Debian Local Security Checks	2018/12/24	2020/3/25	high
119729	Debian DLA-1609-1：libapache-mod-jk 安全更新	Nessus	Debian Local Security Checks	2018/12/18	2021/1/11	high
122292	RHEL 6 / 7 : Red Hat JBoss Core Services Apache HTTP Server 2.4.29 (RHSA-2019:0367)	Nessus	Red Hat Local Security Checks	2019/2/19	2020/2/12	critical

检测

插件搜索

high

high

high

critical