検出

Debian DSA-5381-1: tomcat9 - セキュリティ更新

high Nessus プラグイン ID 173947

Language:

概要

リモートの Debian ホストにセキュリティ関連の 1 つ以上の更新プログラムがありません。

説明

リモートの Debian 11 ホストには、dsa-5381 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - rejectIllegalHeader を false (8.5.x のみでデフォルト) に設定して無効な HTTP ヘッダーを無視するように Apache Tomcat 8.5.0~8.5.82、9.0.0-M1~9.0.67、10.0.0-M1~10.0.26、または 10.1.0-M1~10.1.0 が構成された場合、Tomcat は無効な Content-Length ヘッダーを含むリクエストを拒否しませんでした。これにより、無効なヘッダーでリクエストの拒否に失敗したリバースプロキシの背後に Tomcat が配置されている場合、リクエストスマグリング攻撃を引き起こす可能性があります。(CVE-2022-42252)

 Apache Tomcat 8.5.83、9.0.40 から9.0.68、および 10.1.0-M1 から 10.1.1の JsonErrorReportValve は、タイプ、メッセージ、または説明の値をエスケープしませんでした。状況によっては、これらはユーザー指定のデータから構築されるため、ユーザーが JSON 出力を無効化または操作する値を提供する可能性がありました。(CVE-2022-45143)

 - http に設定された X-Forwarded-Proto ヘッダーを含む HTTP を介したリバースプロキシから受信したリクエストで RemoteIpFilter を使用する場合、Apache Tomcat 11.0.0-M1 から 11.0.0.-M2、10.1.0-M1 から 10.1.5、9.0.0-M1 から 9.0.71および 8.5.0から 8.5.85が作成したセッションクッキーはセキュア属性を含んでいませんでした。これにより、ユーザーエージェントが安全でないチャネルを介してセッションクッキーを送信する可能性があります。(CVE-2023-28708)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

tomcat9 パッケージをアップグレードしてください。

安定版 (stable) ディストリビューション (bullseye) では、これらの問題はバージョン 9.0.43-2~deb11u6 で修正されています。

参考資料

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1033475

https://security-tracker.debian.org/tracker/source-package/tomcat9

https://www.debian.org/security/2023/dsa-5381

https://security-tracker.debian.org/tracker/CVE-2022-42252

https://security-tracker.debian.org/tracker/CVE-2022-45143

https://security-tracker.debian.org/tracker/CVE-2023-28708

https://packages.debian.org/source/bullseye/tomcat9

プラグインの詳細

深刻度: High

ID: 173947

ファイル名: debian_DSA-5381.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2023/4/6

更新日: 2023/5/25

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N

CVSS スコアのソース: CVE-2022-45143

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:libtomcat9-embed-java, p-cpe:/a:debian:debian_linux:libtomcat9-java, p-cpe:/a:debian:debian_linux:tomcat9, p-cpe:/a:debian:debian_linux:tomcat9-admin, p-cpe:/a:debian:debian_linux:tomcat9-common, p-cpe:/a:debian:debian_linux:tomcat9-docs, p-cpe:/a:debian:debian_linux:tomcat9-examples, p-cpe:/a:debian:debian_linux:tomcat9-user, cpe:/o:debian:debian_linux:11.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/4/5

脆弱性公開日: 2022/11/1

参照情報

CVE: CVE-2022-42252, CVE-2022-45143, CVE-2023-28708

IAVA: 2022-A-0457-S, 2023-A-0014-S, 2023-A-0156-S