SuSE 10 セキュリティ更新:tomcat5(ZYPP パッチ番号 7003)

medium Nessus プラグイン ID 46170

言語:

概要

リモート SuSE 10 ホストにセキュリティ関連のパッチがありません。

説明

Apache Tomcat 5 のこの更新では、以下のセキュリティ問題を修正します:

ディレクトリトラバーサル脆弱性により、リモートの攻撃者が特別に細工された WAR ファイルで、任意のファイル/ディレクトリを作成または上書きすることができます(CVE-2009-2693 / CVE-2009-2902)。autoDeploy が有効である場合、自動展開プロセスによって失敗した展開解除で残った appBase ファイルが展開されることで、リモートの攻撃者が HTTP リクエストを通じて意図した認証要件をバイパスする可能性があります。
(CVE-2009-2901)

注意:これは、回帰を修正するためのセキュリティ更新の再リリースです。以前のパッチによって、tomcat がファイルを削除していました。これは、失敗した展開解除に不適切に関連づけられていました。

ソリューション

ZYPP パッチ番号 7003 を適用してください。

関連情報

http://support.novell.com/security/cve/CVE-2009-2693.html

http://support.novell.com/security/cve/CVE-2009-2901.html

http://support.novell.com/security/cve/CVE-2009-2902.html

プラグインの詳細

深刻度: Medium

ID: 46170

ファイル名: suse_tomcat5-7003.nasl

バージョン: 1.10

タイプ: local

エージェント: unix

公開日: 2010/4/28

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Low

スコア: 3.7

CVSS v2

リスクファクター: Medium

Base Score: 5.8

ベクトル: AV:N/AC:M/Au:N/C:N/I:P/A:P

脆弱性情報

CPE: cpe:/o:suse:suse_linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2010/4/22

参照情報

CVE: CVE-2009-2693, CVE-2009-2901, CVE-2009-2902

CWE: 22, 264