检测

插件

MagicLinux 3 tomcat5-5.5.23-0jpp.7.1.1AXS3 (AXSA:2008-90:02)

medium Nessus 插件 ID 284313

语言：

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程MiracleLinux 3 主机上存在安装的程序包该程序包受到 AXSA:2008-90:02 公告中提及的多个漏洞的影响。

Tomcat 是用于正式的 Java Servlet 和 JavaServer Pages 技术引用实现中的 servlet 容器。
Java Servlet 和 JavaServer Pages 规范由 Sun 在 Java Community Process 下制定。
CVE-2008-1232:
Apache Tomcat 4.1.0 至 4.1.37、 5.5.0 至 5.5.26以及 6.0.0 至 6.0.16 中的跨站脚本 (XSS) 漏洞允许远程攻击者通过消息参数中使用的构建字符串注入任意 Web 脚本或 HTML映射到 HttpServletResponse.sendError 方法。
CVE-2008-1947:
Apache Tomcat 5.5.9 到 5.5.26 和 6.0.0 到 6.0.16 中的跨站脚本 (XSS) 漏洞允许远程攻击者通过 name 参数也称为 hostname 属性将任意 Web 脚本或 HTML 注入 host-manager/html/add 。
CVE-2008-2370:
Apache Tomcat 4.1.0 到 4.1.37、 5.5.0 到 5.5.26和 6.0.0 到 6.0.16使用 RequestDispatcher 时会在从 URI 删除查询字符串之前执行路径规范化进而允许远程攻击者执行目录遍历攻击并读取通过 ..
请求参数中的 ..点点。
CVE-2008-2938:
Apache Tomcat 4.1.0 到 4.1.37、 5.5.0 到 5.5.26以及 6.0.0 到 6.0.16中的目录遍历漏洞在启用 allowLinking 和 UTF-8 时允许远程攻击者通过 URI 中编码的目录遍历序列读取任意文件。与 CVE-2008-2370不同的漏洞。
注意低于 6.0.18 的版本据报告会受到影响但供应商公告将 6.0.16 列为最后一个受影响的版本。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/187

插件详情

严重性: Medium

ID: 284313

文件名: miracle_linux_AXSA-2008-90.nasl

版本: 1.2

类型: local

系列: Miracle Linux Local Security Checks

发布时间: 2026/1/14

最近更新时间: 2026/2/12

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.2

Vendor

Vendor Severity: High

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 4.1

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2008-2370

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2008-1947

CVSS v4

风险因素: Medium

Base Score: 5.3

Threat Score: 2.1

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N

CVSS 分数来源: CVE-2008-1947

漏洞信息

CPE: p-cpe:/a:miracle:linux:tomcat5-server-lib, p-cpe:/a:miracle:linux:tomcat5-jsp-2.0-api-javadoc, p-cpe:/a:miracle:linux:tomcat5-webapps, p-cpe:/a:miracle:linux:tomcat5-common-lib, p-cpe:/a:miracle:linux:tomcat5-jasper-javadoc, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:tomcat5-jsp-2.0-api, p-cpe:/a:miracle:linux:tomcat5-servlet-2.4-api-javadoc, p-cpe:/a:miracle:linux:tomcat5-servlet-2.4-api, p-cpe:/a:miracle:linux:tomcat5-admin-webapps, p-cpe:/a:miracle:linux:tomcat5-jasper, p-cpe:/a:miracle:linux:tomcat5

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2008/9/22

漏洞发布日期: 2008/6/2

可利用的方式

CANVAS (D2ExploitPack)

Elliot (Apache Tomcat File Disclosure)

参考资料信息

CVE: CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938