リモートホストにインストールされている Tomcat のバージョンは 9.0.86 より前です。したがって、fixed_in_apache_tomcat_9.0.86_security-9 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Apache Tomcat の不完全なクリーンアップの脆弱性によるサービス拒否。WebSocket クライアントが WebSocket 接続を開いたままにし、リソース消費の増加につながる可能性がありました。この問題は、11.0.0-M1 から 11.0.0-M16、10.1.0-M1 から 10.1.18、9.0.0-M1 から 9.0.85、8.5.0 から 8.5.98 までの Apache Tomcat に影響します。ユーザーには、この問題を修正したバージョンであるバージョン 11.0.0-M17、10.1.19、9.0.86、8.5.99 へのアップグレードをお勧めします。(CVE-2024-23672)

  - Apache Tomcat での HTTP/2 リクエストの不適切な入力検証の脆弱性によるサービス拒否。
    HTTP/2 リクエストを処理するとき、リクエストがヘッダーに設定された制限のいずれかを超えた場合、関連する HTTP/2 ストリームは、すべてのヘッダーが処理されるまでリセットされませんでした。この問題は、11.0.0-M1 から 11.0.0-M16、10.1.0-M1 から 10.1.18、9.0.0-M1 から 9.0.85、8.5.0 から 8.5.98 までの Apache Tomcat に影響します。ユーザーには、この問題を修正したバージョンであるバージョン 11.0.0-M17、10.1.19、9.0.86、8.5.99 へのアップグレードをお勧めします。(CVE-2024-24549)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Apache Tomcat 9.0.0.M1< 9.0.86の複数の脆弱性

high Nessus プラグイン ID 192042

バージョン 1.1

バージョン 1.0

バージョン 1.0

バージョン 1.1 Mar 15, 2024, 3:57 PM IAVM reference STIG Severity (set to "I") Plugin Feed: 202403151557
バージョン 1.0 Mar 13, 2024, 11:47 PM New Plugin Feed: 202403132347
バージョン 1.0 Mar 15, 2024, 1:33 PM IAVM reference STIG Severity (set to "I") Plugin Feed: 202403151333