公告ID(KYSA-202208-1444)
公告ID:KYSA-202208-1444
公告摘要:tomcat6安全漏洞
等級(jí):Important
發(fā)布日期:2022-08-23
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2020-1938
描述:CVE-2020-1938是Apache Tomcat中AJP連接器中的文件讀取/包含漏洞��。默認(rèn)情況下啟用此功能����,默認(rèn)配置端口為8009��。未經(jīng)驗(yàn)證的遠(yuǎn)程攻擊者可以利用此漏洞從易受攻擊的服務(wù)器讀取web應(yīng)用程序文件��。在易受攻擊的服務(wù)器允許上載文件的情況下��,攻擊者可以上載各種文件類型中的惡意JavaServer Pages(JSP)代碼����,并觸發(fā)此漏洞以獲得遠(yuǎn)程代碼執(zhí)行(RCE).
·CVE-2020-9484
描述:在apachetomcat使用文件存儲(chǔ)時(shí)發(fā)現(xiàn)了反序列化缺陷。在特定情況下�����,攻擊者可以使用巧盡心思構(gòu)建的請(qǐng)求��,通過對(duì)其控制下的文件進(jìn)行反序列化來觸發(fā)遠(yuǎn)程代碼執(zhí)行��。該漏洞的最大威脅是數(shù)據(jù)機(jī)密性和完整性以及系統(tǒng)可用性���。
2.受影響的軟件包
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V6
·x86_64架構(gòu):
tomcat6、tomcat6-admin-webapps�����、tomcat6-docs-webapp��、tomcat6-el-2.1-api��、tomcat6-javadoc�����、tomcat6-jsp-2.1-api、tomcat6-lib�、tomcat6-servlet-2.5-api、tomcat6-webapps
3.軟件包修復(fù)版本
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V6 (x86_64)
tomcat6-6.0.24-115.el6_10或以上版本
tomcat6-admin-webapps-6.0.24-115.el6_10或以上版本
tomcat6-docs-webapp-6.0.24-115.el6_10或以上版本
tomcat6-el-2.1-api-6.0.24-115.el6_10或以上版本
tomcat6-javadoc-6.0.24-115.el6_10或以上版本
tomcat6-jsp-2.1-api-6.0.24-115.el6_10或以上版本
tomcat6-lib-6.0.24-115.el6_10或以上版本
tomcat6-servlet-2.5-api-6.0.24-115.el6_10或以上版本
tomcat6-webapps-6.0.24-115.el6_10或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
1.打開軟件包源配置文件��,根據(jù)倉庫地址進(jìn)行修改���。
倉庫源地址:
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V6
x86_64:https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級(jí)���,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過軟件包地址下載軟件包,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝, 命令如下:
yum install Packagename
3.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2020-1938:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2020-9484:需要重啟 tomcat6 以使漏洞修復(fù)生效。
5.軟件包下載地址
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V6
tomcat6(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/tomcat6-6.0.24-115.el6_10.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/tomcat6-admin-webapps-6.0.24-115.el6_10.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/tomcat6-docs-webapp-6.0.24-115.el6_10.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/tomcat6-el-2.1-api-6.0.24-115.el6_10.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/tomcat6-javadoc-6.0.24-115.el6_10.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/tomcat6-jsp-2.1-api-6.0.24-115.el6_10.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/tomcat6-lib-6.0.24-115.el6_10.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/tomcat6-servlet-2.5-api-6.0.24-115.el6_10.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/tomcat6-webapps-6.0.24-115.el6_10.noarch.rpm
注:其他相關(guān)依賴包請(qǐng)到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令��,查看相關(guān)軟件包版本是否與修復(fù)版本一致����,如果版本一致,則說明修復(fù)成功����。
sudo rpm -qa | grep Packagename
