検出

Apache Tomcat 10.1.0.M1 < 10.1.25

high Nessus プラグイン ID 201843

Language:

概要

リモートの Apache Tomcat サーバーは、脆弱性の影響を受けます。

説明

リモートホストにインストールされている Tomcat のバージョンは 10.1.25より前です。したがって、fixed_in_apache_tomcat_10.1.25_security-10 のアドバイザリに記載されている脆弱性の影響を受けます。

 - 例外条件の不適切な処理、Apache Tomcat での制御されていないリソース消費の脆弱性。HTTP/2 ストリームを処理する際、Tomcat は場合によっては過剰な HTTP ヘッダーを適切に処理していませんでした。これにより、アクティブな HTTP/2 ストリームのカウントミスが発生し、不適切な無限タイムアウトの使用につながり、本来クローズされるべき接続がオープンのままになる可能性がありました。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.0-M20 まで、10.1.0-M1 から 10.1.24 まで、9.0.0-M1 から 9.0.89 まで。ユーザーには、この問題を修正したバージョンであるバージョン 11.0.0-M21、10.1.25 または 9.0.90 へのアップグレードをお勧めします。(CVE-2024-34750)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Apache Tomcat バージョン 10.1.25 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?579ff3c5

http://www.nessus.org/u?34e8fd2b

プラグインの詳細

深刻度: High

ID: 201843

ファイル名: tomcat_10_1_25.nasl

バージョン: 1.2

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: Web Servers

公開日: 2024/7/3

更新日: 2024/7/12

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.1

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2024-34750

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:apache:tomcat:10

必要な KB アイテム: installed_sw/Apache Tomcat

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/6/19

脆弱性公開日: 2024/6/19

参照情報

CVE: CVE-2024-34750

IAVA: 2024-A-0393