Amazon Linux AMI:tomcat6(ALAS-2016-656)

high Nessus プラグイン ID 89837
New! Vulnerability Priority Rating (VPR)

Tenable では、すべての脆弱性に対して動的な VPR が計算されます。VPR は脆弱性の情報を、脅威インテリジェンスや機械学習アルゴリズムと組み合わせて、攻撃時に最も悪用される可能性の高い脆弱性を予測します。詳細は、 「VPR とは何で、CVSS とはどう違うのか」を参照してください。

VPR スコア : 3.6

概要

リモート Amazon Linux AMI ホストに、セキュリティ更新がありません。

説明

表現言語リゾルバーが権限のあるコードセクション内で表現を評価していたことが見つかりました。悪意のある Web アプリケーションがこの欠陥を利用し、セキュリティマネージャー保護をバイパスする可能性があります。(CVE-2014-7810)

十分に大きなリクエスト本文をもつリクエストを処理後、Tomcat が接続を開いたままにすることがわかりました。リモートの攻撃者がこの欠陥を利用して利用可能な接続のプールを使い果たし、これから確立される Tomcat サーバーへのさらなる正当な接続を妨げる可能性があります。(CVE-2014-0230)

ソリューション

「yum update tomcat6」を実行してシステムを更新してください。

関連情報

https://alas.aws.amazon.com/ALAS-2016-656.html

プラグインの詳細

深刻度: High

ID: 89837

ファイル名: ala_ALAS-2016-656.nasl

バージョン: 2.2

タイプ: local

エージェント: unix

公開日: 2016/3/11

更新日: 2018/4/18

依存関係: ssh_get_info.nasl

リスク情報

リスクファクター: High

VPR スコア: 3.6

CVSS v2.0

Base Score: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

脆弱性の情報

CPE: cpe:2.3:o:amazon:linux:*:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-admin-webapps:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-docs-webapp:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-el-2.1-api:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-javadoc:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-jsp-2.1-api:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-lib:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-servlet-2.5-api:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:tomcat6-webapps:*:*:*:*:*:*:*

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

パッチ公開日: 2016/3/10

参照情報

CVE: CVE-2014-7810, CVE-2014-0230

ALAS: 2016-656