CentOS 6: tomcat6(CESA-2011: 1780)

high Nessus プラグイン ID 57374

概要

リモートのCentOSホストに1つ以上のセキュリティ更新プログラムが欠落しています。

説明

いくつかのセキュリティ問題および 1 つのバグを修正する更新済みの tomcat6 パッケージが Red Hat Enterprise Linux 6 で現在利用可能です。

Red Hatセキュリティレスポンスチームは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供するCommon Vulnerability Scoring System(CVSS)のベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに確認できます。

Apache Tomcatは、JavaサーブレットとJavaServer Pages(JSP)技術のサーブレットコンテナです。

CVE-2011-3190 および CVE-2011-2526 の説明で言及されている APR (Apache Portable Runtime)は、apr パッケージで提供されている APR を参照しません。APR は Tomcat を使って APR の利用をサポートしている Tomcat Native ライブラリで提供される APR の実装を参照します。このライブラリは、Red Hat Enterprise Linux 6 には同梱されていません。
この更新は、別の製品から Tomcat Native ライブラリを取り出すことにより、Tomcat を使って APR を利用することを選んだユーザー向けに修正を提供するものです。
しかし、このような構成は、Red Hat でサポートされていません。

Tomcat が HTTP DIGEST 認証を処理する方法で、複数の欠陥が見つかりました。この欠陥はTomcat HTTP DIGEST認証実装を弱体化し、リモートの攻撃者によるセッションリプレイ攻撃を可能にするなど、いくつかのHTTP BASIC認証の弱点に陥りやすくします。(CVE-2011-1184)

Coyote(org.apache.coyote.ajp.AjpProcessor)および APR(org.apache.coyote.ajp.AjpAprProcessor)Tomcat AJP(Apache JServ Protocol)コネクタが特定の POST リクエストを処理する方法で、欠陥が見つかりました。攻撃者が特別に細工されたリクエストを送信して、コネクタにメッセージ本文を新しいリクエストとして処理させる可能性があります。この結果、任意の AJP メッセージを注入することができるようになり、攻撃者が Web アプリケーションの認証チェックをバイパスして、他の方法ではアクセスできなかった情報にアクセスする可能性があります。APR ライブラリが存在しない場合、デフォルトで JK (org.apache.jk.server.JkCoyoteHandler)コネクタが使用されます。JKコネクタはこの欠陥の影響を受けません。(CVE-2011-3190)

Tomcat MemoryUserDatabase で欠陥が見つりました。JMX クライアントを用いて新規ユーザーを作成する際にランタイム例外が発生した場合、ユーザーのパスワードが Tomcat ログファイルに記録されます。注:デフォルトでは、管理者のみがこのようなログファイルにアクセスできます。(CVE-2011-2204)

HTTP APR コネクタまたは NIO(Non-Blocking I/O)コネクタを利用している場合に、 Tomcat が sendfile リクエスト属性を処理する方法で欠陥が見つかりました。Tomcat インスタンス上で動作中の悪意ある Web アプリケーションがこの欠陥を利用することにより、セキュリティマネージャーの制限をバイパスして、他の方法ではアクセスできなかったファイルにアクセスしたり、Java Virtual Machine (JVM)を終了させたりする可能性があります。Red Hat Enterprise Linux 6ではデフォルトでこの問題に脆弱性のないHTTPブロックIO(BIO)コネクタが使用されています。(CVE-2011-2526)

Red Hat は、CVE-2011-2526 の問題を報告してくれた Apache Tomcat プロジェクトに感謝の意を表します。

この更新では、以下のバグも修正されます:

* 以前は、特定の場合で、「LANG=fr_FR」または「LANG=fr_FR.UTF-8」が 64 ビット PowerPC システムで環境変数として設定されているとき、またはそれらが「/etc/sysconfig/tomcat6」で設定されているときに、Tomcat が正常に開始されませんでした。
この更新により、LANGが「fr_FR」または「fr_FR.UTF-8」に設定されている場合、Tomcatは意図していた通りの動作を行うようになりました。(BZ#748807)

Tomcat のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、この問題を修正する必要があります。この更新を有効にするには、Tomcat を再起動する必要があります。

ソリューション

影響を受ける tomcat6 パッケージを更新してください。

関連情報

http://www.nessus.org/u?fa61944a

プラグインの詳細

深刻度: High

ID: 57374

ファイル名: centos_RHSA-2011-1780.nasl

バージョン: 1.15

タイプ: local

エージェント: unix

公開日: 2011/12/23

更新日: 2021/1/4

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:centos:centos:tomcat6, p-cpe:/a:centos:centos:tomcat6-admin-webapps, p-cpe:/a:centos:centos:tomcat6-docs-webapp, p-cpe:/a:centos:centos:tomcat6-el-2.1-api, p-cpe:/a:centos:centos:tomcat6-javadoc, p-cpe:/a:centos:centos:tomcat6-jsp-2.1-api, p-cpe:/a:centos:centos:tomcat6-lib, p-cpe:/a:centos:centos:tomcat6-servlet-2.5-api, p-cpe:/a:centos:centos:tomcat6-webapps, cpe:/o:centos:centos:6

必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2011/12/22

脆弱性公開日: 2011/6/29

参照情報

CVE: CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-3190, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064

BID: 48456, 48667, 49353, 49762

RHSA: 2011:1780