Apache Tomcat 9.0.0.M1 < 9.0.0。M15
high Nessus プラグイン ID 197854
Language:
概要
リモートの Apache Tomcat サーバーは、脆弱性の影響を受けます。説明
リモートホストにインストールされている Tomcat のバージョンは9.0.0.M15より前です。したがって、fixed_in_apache_tomcat_9.0.0.m15_security-9 のアドバイザリに記載されている脆弱性の影響を受けます。- Apache Tomcat 9.0.0.M1 ~ 9.0.0.M13、8.5.0 ~ 8.5.8、8.0.0.RC1 ~ 8.0.39、7.0.0 ~ 7.0.73 および 6.0.16 ~ 6.0.48 の NIO HTTP コネクターにおける送信ファイルコードのエラー処理のバグにより、現在のプロセッサーオブジェクトがプロセッサーキャッシュに複数回追加されました。これは、同じプロセッサーを同時リクエストに使用される可能性があるということです。プロセッサーを共有すると、セッション ID や応答本体などのリクエスト間で情報が漏えいする可能性があります。このバグは、バージョン 8.5.x で最初に確認され、8.5.x のコネクタコードのリファクタリングにより、バグが確認される可能性が高くなりました。当初、8.5.x のリファクタリングによってバグが発生するようになったと考えられていましたが、さらなる調査の結果、このバグは現在サポートされている Tomcat のすべてのバージョンに存在することが判明しました。(CVE-2016-8745)
Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Apache Tomcat バージョン9.0.0.M15以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 197854
ファイル名: tomcat_9_0_0_M15.nasl
バージョン: 1.1
タイプ: combined
エージェント: windows, macosx, unix
ファミリー: Web Servers
公開日: 2024/5/23
更新日: 2024/5/23
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2016-8745
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:apache:tomcat:9
必要な KB アイテム: installed_sw/Apache Tomcat
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2016/12/8
脆弱性公開日: 2016/12/8
参照情報
CVE: CVE-2016-8745