Apache Tomcat 8.5.0< 8.5.64の複数の脆弱性
medium Nessus プラグイン ID 194472
Language:
概要
リモートの Apache Tomcat サーバーは、複数の脆弱性の影響を受けます。説明
リモートホストにインストールされている Tomcat のバージョンは 8.5.64より前です。したがって、fixed_in_apache_tomcat_8.5.64_security-8 のアドバイザリに記載されている複数の脆弱性の影響を受けます。- Apache Tomcat 8.5.0~8.5.63、9.0.0-M1~9.0.43 および 10.0.0-M1~10.0.2 は、着信 TLS パケットを適切に検証しませんでした。Tomcat が TLS に対して NIO + OpenSSL または NIO2 + OpenSSL を使用するように設定されている場合、特別に細工されたパケットが使用されて無限ループがトリガーされ、サービス拒否が発生する可能性があります。
(CVE-2021-41079)
- Apache Tomcat での、機密情報を含むエラーメッセージの生成の脆弱性。この問題は、Apache Tomcat の 8.5.7 から 8.5.63、9.0.0-M11 から 9.0.43 のバージョンに影響します。この問題の修正が含まれている、バージョン 8.5.64 以降または 9.0.44 以降にアップグレードすることが推奨されます。(CVE-2024-21733)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Apache Tomcat バージョン 8.5.64 以降にアップグレードしてください。参考資料
http://www.nessus.org/u?d59ef87c
プラグインの詳細
深刻度: Medium
ID: 194472
ファイル名: tomcat_8_5_64.nasl
バージョン: 1.2
タイプ: combined
エージェント: windows, macosx, unix
ファミリー: Web Servers
公開日: 2024/4/29
更新日: 2024/5/23
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.4
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P
CVSS スコアのソース: CVE-2021-41079
CVSS v3
リスクファクター: Medium
基本値: 5.3
現状値: 4.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2024-21733
脆弱性情報
CPE: cpe:/a:apache:tomcat:8
必要な KB アイテム: installed_sw/Apache Tomcat
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2021/3/10
脆弱性公開日: 2021/3/10
参照情報
CVE: CVE-2021-41079, CVE-2024-21733