FERRAMENTAS LINUX: Atualização de segurança do Debian LTS para o tomcat8, aviso Debian LTS: DLA-2209-1

sexta-feira, 29 de maio de 2020

Atualização de segurança do Debian LTS para o tomcat8, aviso Debian LTS: DLA-2209-1



Confira !!



Várias vulnerabilidades de segurança foram descobertas no servlet Tomcat e no mecanismo JSP.

Pacote: tomcat8
Versão: 8.0.14-1 + deb8u17
ID da CVE: CVE-2019-17563 CVE-2020-1935 CVE-2020-1938
                 CVE-2020-9484
Erro no Debian: 961209 952436 952437 952438


Várias vulnerabilidades de segurança foram descobertas no Tomcat
servlet e mecanismo JSP.

AVISO: A correção do CVE-2020-1938 pode interromper os serviços que dependem de um
trabalhando configuração AJP. A opção secretRequired assume como padrão true
agora. Você deve definir um segredo em seu server.xml ou pode reverter
de volta, definindo secretRequired como false.


CVE-2019-17563

    Ao usar a autenticação FORM com o Apache Tomcat, houve uma estreita
    janela em que um invasor pode executar um ataque de fixação de sessão.
    A janela era considerada muito estreita para uma exploração ser prática
    mas, por precaução, esse problema foi tratado como um
    vulnerabilidade de segurança.

CVE-2020-1935

    No Apache Tomcat, o código de análise do cabeçalho HTTP usou uma abordagem para
    análise de fim de linha que permitiu que alguns cabeçalhos HTTP inválidos fossem
    analisado como válido. Isso levou a uma possibilidade de contrabando de solicitação HTTP
    se o Tomcat estivesse localizado atrás de um proxy reverso que incorretamente
    manipulou o cabeçalho de codificação de transferência inválido de uma maneira específica.
    Esse proxy reverso é considerado improvável.

CVE-2020-1938

    Ao usar o Apache JServ Protocol (AJP), é necessário ter cuidado ao
    confiando em conexões de entrada com o Apache Tomcat. Tomcat trata AJP
    conexões como tendo maior confiança do que, por exemplo, um HTTP semelhante
    conexão. Se essas conexões estiverem disponíveis para um invasor, elas
    pode ser explorado de maneiras surpreendentes. Anteriormente Tomcat
    fornecido com um AJP Connector ativado por padrão que ouviu no
    todos os endereços IP configurados. Era esperado (e recomendado no
    guia de segurança) que este conector seria desativado se não
    requeridos.
    .
    Note que o Debian já desativou o conector AJP por padrão.
    A atenuação é necessária apenas se a porta AJP foi disponibilizada para
    usuários não confiáveis.

CVE-2020-9484

    Ao usar o Apache Tomcat e um invasor é capaz de controlar o
    conteúdo e nome de um arquivo no servidor; e b) o servidor é
    configurado para usar o PersistenceManager com um FileStore; e C)
    o PersistenceManager está configurado com
    sessionAttributeValueClassNameFilter = "null" (o padrão, a menos que um
    SecurityManager) ou um filtro suficientemente relaxado para permitir que o
    o atacante forneceu o objeto a ser desserializado; e d) o atacante
    conhece o caminho do arquivo relativo a partir do local de armazenamento usado pelo
    FileStore para o arquivo que o invasor tem controle; então, usando um
    solicitação especificamente criada, o invasor poderá acionar
    execução remota de código via desserialização do arquivo sob sua
    ao controle. Observe que todas as condições a) a d) devem ser verdadeiras para o
    ataque para ter sucesso.


Para o Debian 8 "Jessie", esses problemas foram corrigidos na versão
8.0.14-1 + deb8u17.

Recomendamos que você atualize seus pacotes tomcat8.

Mais informações sobre os avisos de segurança Debian LTS, como aplicar
Essas atualizações do sistema e as perguntas freqüentes podem ser
encontrado em: https://wiki.debian.org/LTS


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário