Amazon Linux 2023 : tomcat10、tomcat10-admin-webapps、tomcat10-el-5.0-api (ALAS2023-2025-814)

critical Nessus プラグイン ID 214611

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2025-814 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

Apache Tomcat の JSP コンパイル中の Time-of-check Time-of-use (TOCTOU) 競合状態の脆弱性により、デフォルトのサーブレットの書き込みが有効な場合 (非デフォルトの設定)、大文字と小文字を区別しないファイルシステムで RCE が発生する可能性があります。

この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.1 まで、10.1.0-M1 から 10.1.33 まで、9.0.0.M1 から 9.0.97 まで。

ユーザーには、この問題を修正したバージョン 11.0.2、10.1.34、9.0.98 へのアップグレードをお勧めします。
(CVE-2024-50379)

Apache Tomcat の未チェックのエラー状態の脆弱性。Tomcat がカスタム Jakarta Authentication (旧 JASPIC) ServerAuthContext コンポーネントを使用するように構成され、失敗を示す HTTP ステータスを明示的に設定せずに認証プロセス中に例外をスローする可能性がある場合でも、認証が失敗しない可能性があり、ユーザーが認証プロセスをバイパスする可能性があります。このように動作する既知の Jakarta Authentication コンポーネントはありません。

この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.0-M26 まで、10.1.0-M1 から 10.1.30 まで、9.0.0-M1 から 9.0.95 まで。

ユーザーには、この問題を修正したバージョン 11.0.0、10.1.31、9.0.96 へのアップグレードをお勧めします。
(CVE-2024-52316)

Apache Tomcat での不適切なオブジェクトリサイクリングおよび再利用の脆弱性。- HTTP/2 リクエストで使用されるリクエストと応答の不適切なリサイクルにより、ユーザー間でリクエストや応答が取り違えられる可能性があります。

この問題は、11.0.0-M23 から 11.0.0-M26 まで、10.1.27 から 10.1.30 まで、9.0.92 から 9.0.95 までの Apache Tomcat に影響します。

ユーザーには、この問題を修正したバージョン 11.0.0、10.1.31、9.0.96 へのアップグレードをお勧めします。
(CVE-2024-52317)

- Apache Tomcat で提供されるサンプルウェブアプリケーションの制御されていないリソース消費の脆弱性が、サービス拒否につながります。

この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.1 まで、10.1.0-M1 から 10.1.33 まで、9.0.0.M1 から 9.9.97 まで。

ユーザーには、この問題を修正したバージョン 11.0.2、10.1.34、9.0.98 へのアップグレードをお勧めします。
(CVE-2024-54677)

Apache Tomcat における Time-of-check Time-of-use (TOCTOU) 競合状態の脆弱性。

この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.1 まで、10.1.0-M1 から 10.1.33 まで、9.0.0.M1 から 9.0.97 まで。

CVE-2024-50379 の軽減は不完全でした。

デフォルトのサーブレット書き込みが有効になっている (読み取り専用初期化パラメーターがデフォルト以外の値である false に設定されている) 大文字と小文字を区別しないファイルシステムで Tomcat を実行しているユーザーは、Tomcat で使用している Java のバージョンに応じて、CVE-2024-50379 を完全に軽減するために追加の設定が必要になる場合があります。- Java 8 または Java 11 で実行: システムプロパティ sun.io.useCanonCaches を明示的に false (デフォルトは true) に設定する必要があります - Java 17 で実行: システムプロパティ sun.io.useCanonCaches を設定する場合は、false (デフォルトは false) に設定する必要があります - Java 21 以降を実行: さらなる設定は必要ありません (システムプロパティと問題のあるキャッシュは削除されています)

Tomcat 11.0.3、10.1.35、9.0.99 以降では、大文字と小文字を区別しないファイルシステムでデフォルトのサーブレットを書き込み可能にする前に、sun.io.useCanonCaches が適切に設定されていることのチェックが含まれています。
Tomcat はまた、可能な場合は、sun.io.useCanonCaches をデフォルトで false に設定します。(CVE-2024-56337)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「dnf update tomcat10 --releasever 2023.6.20250123」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/AL2023/ALAS-2025-814.html

https://alas.aws.amazon.com/faqs.html

https://alas.aws.amazon.com/cve/html/CVE-2024-50379.html

https://alas.aws.amazon.com/cve/html/CVE-2024-52316.html

https://alas.aws.amazon.com/cve/html/CVE-2024-52317.html

https://alas.aws.amazon.com/cve/html/CVE-2024-54677.html

https://alas.aws.amazon.com/cve/html/CVE-2024-56337.html

プラグインの詳細

深刻度: Critical

ID: 214611

ファイル名: al2023_ALAS2023-2025-814.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2025/1/24

更新日: 2025/3/13

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-54677

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2024-56337

脆弱性情報

CPE: p-cpe:/a:amazon:linux:tomcat10, p-cpe:/a:amazon:linux:tomcat10-docs-webapp, p-cpe:/a:amazon:linux:tomcat10-webapps, p-cpe:/a:amazon:linux:tomcat10-admin-webapps, p-cpe:/a:amazon:linux:tomcat10-servlet-6.0-api, p-cpe:/a:amazon:linux:tomcat10-jsp-3.1-api, p-cpe:/a:amazon:linux:tomcat10-el-5.0-api, p-cpe:/a:amazon:linux:tomcat10-lib, cpe:/o:amazon:linux:2023

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/1/21

脆弱性公開日: 2024/10/9

参照情報

CVE: CVE-2024-50379, CVE-2024-52316, CVE-2024-52317, CVE-2024-54677, CVE-2024-56337

IAVA: 2024-A-0754-S, 2024-A-0822-S