TomcatサーブレットとJSPエンジンに、複数のセキュリティ脆弱性が見つかりました。

CVE-2019-17569

7.0.98 のリファクタリングでレグレッションが導入されていました。リグレッションの結果、無効なTransfer-Encodingヘッダーが不適切に処理されることになり、無効なTransfer-Encodingヘッダーを特定の方法で不適切に処理するリバースプロキシの後方にTomcatがある場合、HTTPリクエストのスマグリングが発生する可能性がありました。そのようなリバースプロキシはありそうもないように思われます。

CVE-2020-1935

HTTPヘッダーの解析コードが行末（EOL）解析に対する手法を使用するため、無効なHTTPヘッダーの一部が有効と解析される可能性がありました。
そのため、無効なTransfer-Encodingヘッダーを特定の方法で不適切に処理するリバースプロキシの後方にTomcatがある場合、HTTPリクエストのスマグリングが発生しました。そのようなリバースプロキシはありそうもないように思われます。

CVE-2020-1938

Apache JServ Protocol（AJP）を使用する場合、Apache Tomcatの受信接続を信頼するときには注意が必要です。Tomcatでは、AJP接続を同様のHTTP接続などに比べて信頼度が高いものとして処理します。そのような接続が攻撃者に使用可能となった場合、意外な方法で悪用される可能性があります。7.0.100より前のTomcatにおいては、すべての設定済みIPアドレスでリッスンするAJPコネクターをデフォルトで有効にしてTomcatが出荷されていました。このコネクタは不要時には無効化することが望まれます（セキュリティガイドでは推奨されます）。

すでにDebianでは、AJPコネクター無効がデフォルトになっていることに注意してください。緩和策が必要なのは、AJPポートが信頼できないユーザーにアクセス可能である場合にのみです。

Debian 8「Jessie」では、これらの問題はバージョン7.0.56-3+really7.0.100-1で修正されました。

tomcat7 パッケージをアップグレードすることを推奨します。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-2133-1 : tomcat7 セキュリティ更新

critical Nessus プラグイン ID 134243

バージョン 1.7

バージョン 1.6

バージョン 1.7 Mar 25, 2024, 1:21 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:H/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:H/RL:O/RC:C") CVSSv2 score source (set to "CVE-2020-1938") Exploit attributes ("Exploited by malware" set to "True") Plugin Feed: 202403251321
バージョン 1.6 Dec 6, 2022, 6:51 PM Reference Plugin Feed: 202212061851