Amazon Linux 2023 : tomcat9、tomcat9-admin-webapps、tomcat9-el-3.0-api (ALAS2023-2024-661)
high Nessus プラグイン ID 202911
Language:
概要
リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。説明
したがって、ALAS2023-2024-661 のアドバイザリに記載されている脆弱性の影響を受けます。Apache Tomcat における例外条件の不適切な処理、制御不能なリソース消費の脆弱性。HTTP/2 ストリームを処理する際、Tomcat は場合によっては過剰な HTTP ヘッダーを適切に処理していませんでした。これにより、アクティブな HTTP/2 ストリームのカウントミスが発生し、不適切な無限タイムアウトの使用につながり、本来クローズされるべき接続がオープンのままになる可能性がありました。
この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.0-M20 まで、10.1.0-M1 から 10.1.24 まで、9.0.0-M1 から 9.0.89 まで。
ユーザーには、この問題を修正したバージョンであるバージョン 11.0.0-M21、10.1.25 または 9.0.90 へのアップグレードをお勧めします。
(CVE-2024-34750)
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「dnf update tomcat9 --releasever2023.5.20240722」を実行してシステムを更新してください。参考資料
https://alas.aws.amazon.com/AL2023/ALAS-2024-661.html
プラグインの詳細
深刻度: High
ID: 202911
ファイル名: al2023_ALAS2023-2024-661.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
公開日: 2024/7/22
更新日: 2024/7/22
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.1
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS スコアのソース: CVE-2024-34750
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:tomcat9, p-cpe:/a:amazon:linux:tomcat9-docs-webapp, p-cpe:/a:amazon:linux:tomcat9-el-3.0-api, p-cpe:/a:amazon:linux:tomcat9-admin-webapps, p-cpe:/a:amazon:linux:tomcat9-jsp-2.3-api, p-cpe:/a:amazon:linux:tomcat9-servlet-4.0-api, p-cpe:/a:amazon:linux:tomcat9-webapps, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:tomcat9-lib
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/7/18
脆弱性公開日: 2024/6/18
参照情報
CVE: CVE-2024-34750
IAVA: 2024-A-0393