検出

Scientific Linux セキュリティ更新:SL5.x i386/x86_64 の tomcat5

medium Nessus プラグイン ID 61299

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

Apache Tomcat は、Java サーブレットおよび JavaServer Pages(JSP)技術のサーブレットコンテナです。

Java hashCode() メソッドの実装は、予測可能なハッシュ競合の影響を受けやすいことが判明しました。リモートの攻撃者は、この欠陥を利用して、名前をマップすると同じハッシュ値になるパラメーターが多数ある HTTP リクエストを送信することで、Tomcat がCPU 時間を過剰に使う原因となることがあります。この問題を緩和するために、この更新では、リクエストごとに処理されるパラメーターの数に制限を設けています。
デフォルトでは、パラメーターに対して 512、ヘッダーに対して 128 を制限値に設定しています。これらのデフォルトは、org.apache.tomcat.util.http.Parameters.MAX_COUNT および org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT のシステムプロパティを設定することで変更できます。
(CVE-2011-4858)

Tomcat は、多数のパラメーターや大きなパラメーター値を効率的に処理しないことが判明しました。リモートの攻撃者は、多数のパラメーターや大きなパラメーター値を含む HTTP リクエストを送信し、 Tomcat に CPU 時間を過剰に使わせることが可能です。
この問題に対処するために、この更新では、リクエストごとに処理するパラメーターとヘッダーの数に制限を設けています。org.apache.tomcat.util.http.Parameters.MAX_COUNT および org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT のシステムプロパティの詳細については、CVE-2011-4858 の説明を参照してください。
(CVE-2012-0022)

Tomcat のユーザーは、更新したこれらのパッケージにアップグレードし、これらの問題を修正する必要があります。この更新を有効にするには、Tomcat を再起動する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?60109485

プラグインの詳細

深刻度: Medium

ID: 61299

ファイル名: sl_20120411_tomcat5_on_SL5_x.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2012/8/1

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:tomcat5, p-cpe:/a:fermilab:scientific_linux:tomcat5-admin-webapps, p-cpe:/a:fermilab:scientific_linux:tomcat5-common-lib, p-cpe:/a:fermilab:scientific_linux:tomcat5-debuginfo, p-cpe:/a:fermilab:scientific_linux:tomcat5-jasper, p-cpe:/a:fermilab:scientific_linux:tomcat5-jasper-javadoc, p-cpe:/a:fermilab:scientific_linux:tomcat5-jsp-2.0-api, p-cpe:/a:fermilab:scientific_linux:tomcat5-jsp-2.0-api-javadoc, p-cpe:/a:fermilab:scientific_linux:tomcat5-server-lib, p-cpe:/a:fermilab:scientific_linux:tomcat5-servlet-2.4-api, p-cpe:/a:fermilab:scientific_linux:tomcat5-servlet-2.4-api-javadoc, p-cpe:/a:fermilab:scientific_linux:tomcat5-webapps, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2012/4/11

脆弱性公開日: 2012/1/5

参照情報

CVE: CVE-2011-4858, CVE-2012-0022