Oracle Linux 7:tomcat(ELSA-2014-1034)
medium Nessus プラグイン ID 77077
Language:
概要
リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。説明
Red Hat セキュリティアドバイザリ 2014:1034 から:1 つのセキュリティ問題を修正する更新済み tomcat パッケージが、 Red Hat Enterprise Linux 7 で現在利用可能です。
Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度低として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
Apache Tomcat は、Java サーブレットおよび JavaServer Pages(JSP)技術のサーブレットコンテナです。
特定の状況において、悪意のある Web アプリケーションが Apache Tomcat によって使用される XML パーサーを置き換え、デフォルトのサーブレット、JSP ドキュメント、タグライブラリ記述子(TLD)、構成ファイルのタグプラグインの XSLT を処理できることが判明しました。この場合、注入された XML パーサーが、XML 外部エンティティで強制された制限をバイパスすることや、同じ Apache Tomcat インスタンスで展開された、その他の Web アプリケーションに対して処理された XML ファイルにアクセスすることができます。
(CVE-2014-0119)
Tomcat の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、この問題を修正することが推奨されます。この更新を有効にするには、Tomcat を再起動する必要があります。
ソリューション
影響を受ける tomcat パッケージを更新してください。参考資料
https://oss.oracle.com/pipermail/el-errata/2014-August/004343.html
プラグインの詳細
深刻度: Medium
ID: 77077
ファイル名: oraclelinux_ELSA-2014-1034.nasl
バージョン: 1.8
タイプ: local
エージェント: unix
公開日: 2014/8/8
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.3
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:oracle:linux:tomcat, p-cpe:/a:oracle:linux:tomcat-admin-webapps, p-cpe:/a:oracle:linux:tomcat-docs-webapp, p-cpe:/a:oracle:linux:tomcat-el-2.2-api, p-cpe:/a:oracle:linux:tomcat-javadoc, p-cpe:/a:oracle:linux:tomcat-jsp-2.2-api, p-cpe:/a:oracle:linux:tomcat-jsvc, p-cpe:/a:oracle:linux:tomcat-lib, p-cpe:/a:oracle:linux:tomcat-servlet-3.0-api, p-cpe:/a:oracle:linux:tomcat-webapps, cpe:/o:oracle:linux:7
必要な KB アイテム: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/8/7
脆弱性公開日: 2014/5/31
参照情報
CVE: CVE-2014-0119
BID: 65768, 67667, 67668, 67669, 67671
RHSA: 2014:1034