openSUSE セキュリティ更新:tomcat6(tomcat6-2000)

medium Nessus プラグイン ID 45456

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

この tomcat5/6 の更新は以下を修正します:

- CVE-2009-2693:CVSS v2 ベーススコア:5.8 CVE-2009-2902:
CVSS v2 ベーススコア:4.3 ディレクトリトラバーサルの脆弱性により、リモートの攻撃者は、特別に細工された WAR ファイルを介して任意のファイル/ディレクトリを作成または上書きできました。

- CVE-2009-2901:CVSS v2 ベーススコア:4.3 autoDeploy が有効な場合、自動展開プロセスが失敗した展開解除で残っている appBase ファイルを展開しました。これにより、リモートの攻撃者が HTTP リクエストを介して意図した認証要件をバイパスできる場合があります。

- CVE-2008-5515:CVSS v2 ベーススコア:5.0 RequestDispatcher メソッドを使用する際、リモートの攻撃者が意図したアクセス制限をバイパスし、ディレクトリトラバーサル攻撃を実行することが可能でした。

ソリューション

影響を受ける tomcat6 パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=575083

プラグインの詳細

深刻度: Medium

ID: 45456

ファイル名: suse_11_0_tomcat6-100216.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2010/4/9

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.5

CVSS v2

リスクファクター: Medium

Base Score: 5.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:tomcat6, p-cpe:/a:novell:opensuse:tomcat6-admin-webapps, p-cpe:/a:novell:opensuse:tomcat6-docs-webapp, p-cpe:/a:novell:opensuse:tomcat6-javadoc, p-cpe:/a:novell:opensuse:tomcat6-jsp-2_1-api, p-cpe:/a:novell:opensuse:tomcat6-lib, p-cpe:/a:novell:opensuse:tomcat6-servlet-2_5-api, p-cpe:/a:novell:opensuse:tomcat6-webapps, cpe:/o:novell:opensuse:11.0

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2010/2/16

参照情報

CVE: CVE-2008-5515, CVE-2009-2693, CVE-2009-2901, CVE-2009-2902

CWE: 22, 264