SuSE 10 セキュリティ更新:tomcat5(ZYPP パッチ番号 7003)
medium Nessus プラグイン ID 46170
Language:
概要
リモート SuSE 10 ホストにセキュリティ関連のパッチがありません。説明
Apache Tomcat 5 のこの更新では、以下のセキュリティ問題を修正します:ディレクトリトラバーサル脆弱性により、リモートの攻撃者が特別に細工された WAR ファイルで、任意のファイル/ディレクトリを作成または上書きすることができます(CVE-2009-2693 / CVE-2009-2902)。autoDeploy が有効である場合、自動展開プロセスによって失敗した展開解除で残った appBase ファイルが展開されることで、リモートの攻撃者が HTTP リクエストを通じて意図した認証要件をバイパスする可能性があります。
(CVE-2009-2901)
注意:これは、回帰を修正するためのセキュリティ更新の再リリースです。以前のパッチによって、tomcat がファイルを削除していました。これは、失敗した展開解除に不適切に関連づけられていました。
ソリューション
ZYPP パッチ番号 7003 を適用してください。参考資料
http://support.novell.com/security/cve/CVE-2009-2693.html
プラグインの詳細
深刻度: Medium
ID: 46170
ファイル名: suse_tomcat5-7003.nasl
バージョン: 1.10
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2010/4/28
更新日: 2021/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.5
CVSS v2
リスクファクター: Medium
基本値: 5.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P
脆弱性情報
CPE: cpe:/o:suse:suse_linux
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2010/4/22