MiracleLinux 3tomcat5-5.5.23-0jpp.7.1.1AXS3AXSA:2008-90:02
medium Nessus プラグイン ID 284313
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 3 ホストには、AXSA:2008-90:02 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。Tomcat は、Java サーブレットおよび JavaServer Pages 技術の正式なリファレンス実装で使用されるサーブレットコンテナです。
Java Servlet および JavaServer Pages の仕様は、Java Community Process に基づいて Sun によって開発されました。
CVE-2008-1232:
Apache Tomcat 4.1.0 から 4.1.37、 5.5.05.5.26から []、および 6.0.0 から 6.0.16 のクロスサイトスクリプティングXSSの脆弱性により、リモートの攻撃者が、メッセージ引数で使用される細工された文字列を通じて、任意の Web スクリプトまたは HTML を注入することが可能です。 HttpServletResponse.sendError メソッドにリダイレクトされる可能性があります。
CVE-2008-1947:
Apache Tomcat の 5.5.9 から 5.5.26 および 6.0.0 から 6.0.16 のクロスサイトスクリプティングXSSの脆弱性により、リモートの攻撃者が、host-manager/html/add に対する名前パラメーター別名ホスト名属性を介して、任意の Web スクリプトまたは HTML を注入する可能性があります。 。
CVE-2008-2370:
Apache Tomcat 4.1.0 から 4.1.37、 5.5.05.5.26] から 、 6.0.0 から 6.0.16は、RequestDispatcher が使用されると、URI からクエリ文字列を削除する前にパスの正規化を実行します。これにより、リモートの攻撃者は、ディレクトリトラバーサル攻撃を実行し、読み取ることができます。サービス拒否 (NULL ポインターのデリファレンス) を介して任意のファイルを
リクエストパラメーターで ..ドットドットを介して、任意のファイルを読み取るか上書きすることができます。
CVE-2008-2938:
Apache Tomcat の 4.1.04.1.37] から 、 5.5.05.5.26] から 、および 6.0.0 から 6.0.16のディレクトリトラバーサルの脆弱性により、allowLinking と UTF-8 が有効のとき、リモートの攻撃者が URI のエンコードされたディレクトリトラバーサルシーケンスを通じて、任意のファイルを読み取る可能性があります。とは異なる脆弱性 CVE-2008-2370。
注 6.0.18 より前のバージョンは影響を受けると報告されていますが、ベンダーのアドバイザリでは 6.0.16 が影響を受ける最新バージョンとしてリストされています。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 284313
ファイル名: miracle_linux_AXSA-2008-90.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/14
更新日: 2026/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 4.1
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2008-2370
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
CVSS スコアのソース: CVE-2008-1947
CVSS v4
リスクファクター: Medium
Base Score: 5.3
Threat Score: 2.1
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
CVSS スコアのソース: CVE-2008-1947
脆弱性情報
CPE: p-cpe:/a:miracle:linux:tomcat5-server-lib, p-cpe:/a:miracle:linux:tomcat5-jsp-2.0-api-javadoc, p-cpe:/a:miracle:linux:tomcat5-webapps, p-cpe:/a:miracle:linux:tomcat5-common-lib, p-cpe:/a:miracle:linux:tomcat5-jasper-javadoc, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:tomcat5-jsp-2.0-api, p-cpe:/a:miracle:linux:tomcat5-servlet-2.4-api-javadoc, p-cpe:/a:miracle:linux:tomcat5-servlet-2.4-api, p-cpe:/a:miracle:linux:tomcat5-admin-webapps, p-cpe:/a:miracle:linux:tomcat5-jasper, p-cpe:/a:miracle:linux:tomcat5
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2008/9/22
脆弱性公開日: 2008/6/2
エクスプロイト可能
CANVAS (D2ExploitPack)
参照情報
CVE: CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938