CentOS 7:tomcat(CESA-2014:1034)
medium Nessus プラグイン ID 77060
Language:
概要
リモート CentOS ホストに1つ以上のセキュリティ更新がありません。説明
1 つのセキュリティ問題を修正する更新済み tomcat パッケージが、 Red Hat Enterprise Linux 7 で現在利用可能です。Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度低として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
Apache Tomcat は、Java サーブレットおよび JavaServer Pages(JSP)技術のサーブレットコンテナです。
特定の状況において、悪意のある Web アプリケーションが Apache Tomcat によって使用される XML パーサーを置き換え、デフォルトのサーブレット、JSP ドキュメント、タグライブラリ記述子(TLD)、構成ファイルのタグプラグインの XSLT を処理できることが判明しました。この場合、注入された XML パーサーが、XML 外部エンティティで強制された制限をバイパスすることや、同じ Apache Tomcat インスタンスで展開された、その他の Web アプリケーションに対して処理された XML ファイルにアクセスすることができます。
(CVE-2014-0119)
Tomcat の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、この問題を修正することが推奨されます。この更新を有効にするには、Tomcat を再起動する必要があります。
ソリューション
影響を受ける tomcat パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 77060
ファイル名: centos_RHSA-2014-1034.nasl
バージョン: 1.6
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2014/8/8
更新日: 2021/1/4
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.3
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2014-0119
脆弱性情報
CPE: p-cpe:/a:centos:centos:tomcat, p-cpe:/a:centos:centos:tomcat-admin-webapps, p-cpe:/a:centos:centos:tomcat-docs-webapp, p-cpe:/a:centos:centos:tomcat-el-2.2-api, p-cpe:/a:centos:centos:tomcat-javadoc, p-cpe:/a:centos:centos:tomcat-jsp-2.2-api, p-cpe:/a:centos:centos:tomcat-jsvc, p-cpe:/a:centos:centos:tomcat-lib, p-cpe:/a:centos:centos:tomcat-servlet-3.0-api, p-cpe:/a:centos:centos:tomcat-webapps, cpe:/o:centos:centos:7
必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
パッチ公開日: 2014/8/7
脆弱性公開日: 2014/5/31
参照情報
CVE: CVE-2014-0119
RHSA: 2014:1034