Apache Software Foundation 报告：

如果对受保护的资源进行请求而请求中没有会话标识符，则可绕过 CSRF 阻止过滤器。

- 修复 bnc#793394 - 绕过安全限制 (CVE-2012-3546)

- apache-tomcat-CVE-2012-3546.patch http://svn.apache.org/viewvc?view=revision&revision=1381035

- 修复 bnc#793391 - 绕过 CSRF 阻止过滤器 (CVE-2012-4431)

- apache-tomcat-CVE-2012-4431.patch http://svn.apache.org/viewvc?view=revision&revision=1394456

- 在 README.SUSE 中介绍如何防范 slowloris DoS (CVE-2012-5568/bnc#791679)

- 修复 bnc#791423 - cnonce 跟踪漏洞 (CVE-2012-5885) bnc#791424 - 认证缓存漏洞 (CVE-2012-5886) bnc#791426 - 过时临时信息漏洞 (CVE-2012-5887)

- apache-tomcat-CVE-2009-2693-CVE-2009-2901-CVE-2009-2902.patch
 http://svn.apache.org/viewvc?view=revision&revision=1380829

- 修复了 bnc#789406 - 通过包含大型标头的请求造成的 HTTP NIO 连接器 OOM DoS (CVE-2012-2733)

- http://svn.apache.org/viewvc?view=revision&revision=1356208

根据其自我报告的版本号，在远程主机上监听的 Apache Tomcat 6.0 实例版本低于 Tomcat 6.0.36。因此，它受到多种漏洞的影响：

- parseHeaders() 函数内存在缺陷，允许构建的标头造成远程拒绝服务。(CVE-2012-2733)

- 存在与 FORM 认证有关的错误，如果请求中附加了“j_security_check”，可造成安全绕过。(CVE-2012-3546)

- “filters/CsrfPreventionFilter.java”文件中存在错误，允许跨站请求伪造 (XSRF) 攻击绕过过滤。这样可允许在无会话标识符的情况下访问受保护的资源。(CVE-2012-4431)

- 启用了 HTTPS 和“sendfile”时存在与“NIO”连接器有关的错误，可强制应用程序进入无限循环。(CVE-2012-4534)

- HTTP Digest Access Authentication 中的 replay-countermeasure 功能跟踪 cnonce 值而不是 nonce 值，可使攻击者更容易通过在网络中嗅探有效请求来绕过访问限制。(CVE-2012-5885)

- HTTP Digest Access Authentication 实现缓存关于经认证用户的信息，允许攻击者通过会话 ID 绕过认证。(CVE-2012-5886)

- HTTP Digest Access Authentication 实现未通过适当凭据的强制执行正确检查过时的 nonce 值，可允许攻击者通过嗅探请求绕过限制。
 (CVE-2012-5887)

请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

- 修复 bnc#794548 - 拒绝服务 (CVE-2012-4534)

- apache-tomcat-CVE-2012-4534.patch 修复了 apache#53138、apache#52858 http://svn.apache.org/viewvc?view=rev&rev=1372035

- 使用已初始化的会话变量而不是再次调用 req.getSesssion()，修复 apache-tomcat-CVE-2012-4431.patch 中的次要问题

更新后的 tomcat7 程序包修复了一个安全问题，现在可用于针对 Red Hat Enterprise Linux 5 和 6 的 JBoss Enterprise Web Server 2.0.0。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Apache Tomcat 是 servlet 容器。

已发现向受保护的资源发送无会话标识符的请求可以绕过跨站请求伪造 (CSRF) 阻止过滤器。远程攻击者可利用此缺陷针对依赖于 CSRF 阻止过滤器且不包含 CSRF 的内部缓解的应用程序发动 CSRF 攻击。
(CVE-2012-4431)

警告：在应用该更新之前，请备份现有 JBoss Enterprise Web Server 安装（包括所有应用程序和配置文件）。

Tomcat 用户应升级这些更新后的程序包，其中解决了此问题。必须重新启动 Tomcat，才能使此更新生效。

远程系统上的 JBoss Enterprise Portal Platform 版本受到以下问题的影响：

- JBoss Web 的 CSRF 阻止过滤器中的缺陷可允许远程攻击者通过缺少会话标识符的请求来绕过跨站请求伪造 (CSRF) 保护机制。(CVE-2012-4431)

- 在使用 COOKIE 会话跟踪方法时出现的缺陷，可允许攻击者劫持用户的会话。(CVE-2012-4529)

- 当多个应用程序使用同一个自定义授权模块类名称时出现的缺陷，可允许本地攻击者部署恶意的应用程序（可替代其他应用程序所提供的自定义授权模块）。(CVE-2012-4572)

- 框架在解密之前未验证 WS-SecurityPolicy AlgorithmSuite 定义是否允许特定的加密算法.这可允许远程攻击者强迫系统使用较弱的加密算法而非预期算法，并且更容易对通信进行解码。
 (CVE-2012-5575)

- PicketBox 中的缺陷可允许本地用户通过读取 Vault 数据文件，获取 admin 加密密钥。
 (CVE-2013-1921)

在 FormAuthenticator 模块中发现会话固定缺陷。(CVE-2013-2067)

- 在启动 JGroups 通道时出现的缺陷可导致未经认证即可通过 IP 多播默认启用 JGroups 诊断服务。远程攻击者可利用此缺陷读取诊断信息。(CVE-2013-2102)

- StAX 解析器实现中的缺陷可允许远程攻击者通过构建的 XML 造成拒绝服务。(CVE-2013-2160)

- Apache Santuario XML Security 中的缺陷可允许上下文有关的攻击者通过使用 CanonicalizationMethod 参数，欺骗 XML 签名指定任意弱算法。(CVE-2013-2172)

- JGroup 的 DiagnosticsHandler 中的缺陷可允许远程攻击者通过重新使用有效的凭据，获取敏感信息和执行任意代码。
 (CVE-2013-4112)

- 在通过远程命名将已认证的连接缓存到服务器的方式中存在缺陷，可允许远程攻击者通过使用远程处理客户端劫持会话。(CVE-2013-4128)

- 将 EJB 调用的连接缓存到服务器的方式存在缺陷，可允许远程攻击者通过使用 EJB 客户端劫持会话。
 (CVE-2013-4213)

根據其自我報告的版本號碼，在遠端主機上接聽的 Apache Tomcat 6.0 執行個體版本，為 6.0.36 以前的版本。因此，會受到多個弱點影響：

- parseHeaders() 函式存在一個瑕疵，其允許利用特製標頭造成遠端拒絕服務。(CVE-2012-2733)

- 存在與 FORM 驗證相關的錯誤，可能在「j_security_check」附加於要求時允許安全繞過。(CVE-2012-3546)

- 檔案「filters/CsrfPreventionFilter.java」中存在一個錯誤，其允許跨網站要求偽造 (XSRF) 攻擊以繞過篩選。這可允許不使用工作階段識別碼而存取受保護的資源。(CVE-2012-4431)

- 啟用了 HTTPS 和「sendfile」時會發生與「NIO」連接器相關的錯誤，可強制應用程式進入無限迴圈。(CVE-2012-4534)

- HTTP Digest Access Authentication 的重播反制功能會追蹤 cnonce 值，而非 nonce 值，這使得攻擊者更容易竊聽網路的有效要求，從而繞過存取限制。(CVE-2012-5885)

- HTTP Digest Access Authentication 實作會快取經過驗證的使用者的相關資訊，其導致攻擊者透過工作階段 ID 來繞過驗證。(CVE-2012-5886)

- HTTP Digest Access Authentication 實作未使用適當的認證妥善檢查過時 nonce 值，這可能導致攻擊者透過竊聽要求來繞過限制。
 (CVE-2012-5887)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端系統上的 JBoss Enterprise Portal Platform 受到下列問題影響：

- JBoss Web 中的 CSRF 保護篩選功能有一個瑕疵，可允許遠端攻擊者透過缺少工作階段識別碼的要求，繞過跨網站要求偽造 (CSRF) 保護機制。(CVE-2012-4431)

- 使用 COOKIE 工作階段追蹤方法時出現一個瑕疵，可允許攻擊者劫持使用者的工作階段。(CVE-2012-4529)

- 多個應用程式使用相同自訂授權模組類別名稱時出現一個瑕疵，可允許本機攻擊者部署惡意應用程式，用以覆寫其他應用程式提供的自訂授權模組。(CVE-2012-4572)

- 架構未在解密前驗證 WS-SecurityPolicy AlgorithmSuite 定義是否允許指定的密碼編譯演算法。這可允許遠端攻擊者強制系統使用比預定還弱式的密碼編譯演算法，且使得解密通訊更為容易。
 (CVE-2012-5575)

- PicketBox 中的瑕疵可能會允許本機使用者藉由讀取 Vault 資料檔案來取得管理員加密金鑰。
 (CVE-2013-1921)

- 在 FormAuthenticator 模組中發現一個工作階段固定瑕疵。(CVE-2013-2067)

- JGroups 通道啟動時出現一個瑕疵，導致系統透過 IP 多點傳送，未經驗證即預設為啟用 JGroups 診斷服務。遠端攻擊者可利用此瑕疵讀取診斷資訊。(CVE-2013-2102)

- StAX 剖析器實作中的一個瑕疵可允許遠端攻擊者透過特製 XML 造成拒絕服務。(CVE-2013-2160)

- Apache Santuario XML 安全性的瑕疵可能會允許內容相依的攻擊者使用 CanonicalizationMethod 參數來指定任意弱式演算法，藉此偽造 XML 簽章。(CVE-2013-2172)

- JGroup 的 DiagnosticsHandler 有瑕疵，可能會允許遠端攻擊者藉由重複使用有效認證來取得敏感資訊和執行任意程式碼。
 (CVE-2013-4112)

- remote-naming 在伺服器上快取經驗證的連線時有一個瑕疵，可允許遠端攻擊者使用遠端用戶端劫持工作階段。(CVE-2013-4128)

- 在伺服器上快取 EJB 叫用的連線時有一個瑕疵，可允許遠端攻擊者使用 EJB 用戶端劫持工作階段。
 (CVE-2013-4213)

- 修正 bnc#794548 - 拒絕服務 (CVE-2012-4534)

- apache-tomcat-CVE-2012-4534.patch 可修正 apache#53138、apache#52858 http://svn.apache.org/viewvc?view=rev&rev=1372035

- 修正 apache-tomcat-CVE-2012-4431.patch 中的小錯誤，使用已初始化的工作階段變數，而非其他呼叫 req.getSesssion()

現已提供適用於 Red Hat Enterprise Linux 5 和 6 之 JBoss Enterprise Web Server 2.0.0 的更新版 tomcat7 套件，可修正一個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Apache Tomcat 是一個 Servlet 容器。

據發現，將不使用工作階段識別碼的要求傳送至受保護的資源，可能繞過跨網站要求偽造 (CSRF) 保護篩選。遠端攻擊者可能利用此瑕疵，對仰賴 CSRF 保護篩選且不包含 CSRF 的內部減輕之應用程式發動 CSRF 攻擊。
(CVE-2012-4431)

警告：套用更新之前，請先備份現有的 JBoss Enterprise Web Server 安裝 (包括所有應用程式和組態檔)。

Tomcat 的使用者應升級至這些更新版套件，其可解決這個問題。必須重新啟動 Tomcat，此更新才能生效。

According to its self-reported version number, the instance of Apache Tomcat 7.0 listening on the remote host is prior to 7.0.32. It is, therefore, affected by a security bypass vulnerability due to an error in the file 'filters/CsrfPreventionFilter.java' that allows cross-site request forgery (XSRF) attacks to bypass the filtering. This allows access to protected resources without a session identifier.

Note that Nessus Network Monitor has not tested for this issue but has instead relied only on the application's self-reported version number.

Versions of Tomcat 7.0.x earlier than 7.0.32 are potentially affected by the following vulnerability:

  - An error exists in the file 'filters/CsrfPreventionFilter.java' that can allow cross-site request forgery (CSRF) attacks to bypass the filtering. This can allow access to protected resources without a session identifier.

Versions earlier than  Apache Tomcat 6.0.36 are potentially affected by multiple vulnerabilities :

  - A flaw exists within the parseHeaders() function that could allow for a crafted header to cause a remote denial of service. (CVE-2012-2733)

  - An error exists related to FORM authentication that can allow security bypass if 'j_security_check' is appended to the request. (CVE-2012-3546)

  - An error exists in the file 'filters/CsrfPreventionFilter.java' that can allow cross-site request forgery (CSRF) attacks to bypass the filtering. This can allow access to protected resources without a session identifier. (CVE-2012-4431)

  - An error exists related to the 'NIO' connector when HTTPS and 'sendfile' are enabled that can force the application into an infinite loop. (CVE-2012-4534)

  - Replay-countermeasure functionality in HTTP Digest  Access Authentication tracks cnonce values instead of nonce values, which makes it easier for attackers to bypass access restrictions by sniffing the network for valid requests. (CVE-2012-5885)

  - HTTP Digest Access Authentication implementation caches information about the authenticated user, which could potentially allow an attacker to bypass authentication via session ID. (CVE-2012-5886)

  - HTTP Digest Access Authentication implementation does not properly check for stale nonce values with enforcement of proper credentials, which allows an attacker to bypass restrictions by sniffing requests. (CVE-2012-5887)

ID	Name	Product	Family	Published	Updated	Severity
63365	FreeBSD：tomcat -- 绕过 CSRF 阻止过滤器 (953911fe-51ef-11e2-8e34-0022156e8794)	Nessus	FreeBSD Local Security Checks	12/31/2012	1/6/2021	medium
74854	openSUSE 安全更新：tomcat6 (openSUSE-SU-2012:1700-1)	Nessus	SuSE Local Security Checks	6/13/2014	1/19/2021	medium
62987	Apache Tomcat 6.0.x < 6.0.36 多种漏洞	Nessus	Web Servers	11/21/2012	5/6/2024	medium
74938	openSUSE 安全更新：tomcat6 (openSUSE-SU-2013:0161-1)	Nessus	SuSE Local Security Checks	6/13/2014	1/19/2021	medium
76235	RHEL 5 / 6：JBoss Web Server (RHSA-2013:0268)	Nessus	Red Hat Local Security Checks	6/26/2014	1/14/2021	medium
72237	JBoss Portal 6.1.0 更新 (RHSA-2013:1437)	Nessus	Red Hat Local Security Checks	1/31/2014	4/11/2022	high
62987	Apache Tomcat 6.0.x < 6.0.36 多種弱點	Nessus	Web Servers	11/21/2012	5/6/2024	medium
72237	JBoss Portal 6.1.0 更新 (RHSA-2013:1437)	Nessus	Red Hat Local Security Checks	1/31/2014	4/11/2022	high
74938	openSUSE 安全性更新：tomcat6 (openSUSE-SU-2013:0161-1)	Nessus	SuSE Local Security Checks	6/13/2014	1/19/2021	medium
76235	RHEL 5 / 6：JBoss Web Server (RHSA-2013:0268)	Nessus	Red Hat Local Security Checks	6/26/2014	1/14/2021	medium
6644	Apache Tomcat 7.0.x < 7.0.32 CSRF Filter Bypass	Nessus Network Monitor	Web Servers	12/17/2012	3/6/2019	medium
800622	Apache Tomcat 7.0.x < 7.0.32 CSRF Filter Bypass	Log Correlation Engine	Web Servers	12/17/2012		high
800612	Apache Tomcat 6.0.x < 6.0.36 Multiple Vulnerabilities	Log Correlation Engine	Web Servers	11/26/2012		medium

Detections

Analytics

Plugins Search

medium

medium

medium

medium

medium

high

medium

high

medium

medium

medium

high

medium