PowerProtect DP 备份一体机和 IDPA:在 IDPA 2.7.6 ACM 上发现的 Apache Tomcat 漏洞

Summary: PowerProtect Data Protection (DP) 系列和融合备份一体机 (IDPA):本文回应了在 IDPA Appliance Configuration Manager (ACM) 版本 2.7.6 上检测到的 Apache Tomcat 安全漏洞。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

提醒:本文仅针对 PowerProtect Data Protection 系列备份一体机或 IDPA 版本 2.7.6。
IDPA 版本 2.7.8 已发布;建议升级到版本 2.7.8。 


本文介绍在 IDPA ACM 版本 2.7.6

:Apache Tomcat 上检测到的以下常见漏洞和披露 (CVE):重要提示:拒绝服务 (CVE-2023-44487)
Apache Tomcat:低:Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885)
Apache Tomcat:重要提示:Apache Tomcat 拒绝服务 (CVE-2023-24998)
Apache Tomcat:重要提示:Apache Tomcat 信息披露 (CVE-2023-28708)
Apache Tomcat:重要提示:请求走私 (CVE-2023-46589)
Apache Tomcat:重要提示:拒绝服务 (CVE-2024-23672)
Apache Tomcat:重要提示:拒绝服务 (CVE-2024-24549)
Apache Tomcat:重要提示:拒绝服务 (CVE-2021-42340)
Apache Tomcat:高:信息披露 (CVE-2021-43980)
Apache Tomcat:低:本地权限升级 (CVE-2022-23181)
Apache Tomcat:低:Apache Tomcat 请求走私 (CVE-2022-42252)
Apache Tomcat:低:Apache Tomcat JsonErrorReportValve 注入 (CVE-2022-45143)
Apache Tomcat:温和:Open redirect (CVE-2023-41080)
Apache Tomcat:重要提示:请求走私 (CVE-2023-45648)
Apache Tomcat:重要提示:信息披露 (CVE-2023-42795)
Apache Tomcat:重要提示:请求走私 (CVE-2023-46589)

Cause

对于 IDPA ACM 版本 2.7.6,Apache Tomcat 的版本为 9.0.82.0。

以下命令可用于检查 ACM 版本: 
rpm -qa |grep dataprotection

以下命令可以检查 Apache Tomcat 版本: 
java -cp /usr/local/dataprotection/tomcat/lib/catalina.jar org.apache.catalina.util.ServerInfo

IDPA ACM 版本 2.7.6 中的示例:
如何验证 ACM Apache Tomcat 版本。
图 1:如何验证 ACM Apache Tomcat 版本。 
 

Resolution

严重性级别 漏洞 Tomcat 固定版本 解决方案

Apache Tomcat:重要提示:拒绝服务 (CVE-2023-44487)( 外部链接)

 9.0.80 误报
Apache Tomcat:低:Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885)( 外部链接) 9.0.62 误报
Apache Tomcat:重要提示:Apache Tomcat 拒绝服务 (CVE-2023-24998)(外部链接) 9.0.74 误报
Apache Tomcat:重要提示:Apache Tomcat 信息披露 (CVE-2023-28708)(外部链接) 9.0.72 误报
Apache Tomcat:重要提示:请求走私 (CVE-2023-46589)(外部链接) 9.0.83 IDPA 版本 2.7.7 中提供了解决方案。
Apache Tomcat:重要提示:拒绝服务 (CVE-2024-23672)(外部链接) 9.0.86 IDPA 版本 2.7.7 中提供了解决方案。
Apache Tomcat:重要提示:拒绝服务 (CVE-2024-24549)(外部链接) 9.0.86 IDPA 版本 2.7.7 中提供了解决方案。
Apache Tomcat:重要提示:拒绝服务 (CVE-2021-42340)(外部链接) 9.0.54 误报
Apache Tomcat:高:信息披露 (CVE-2021-43980)( 外部链接) 9.0.60 误报
Apache Tomcat:低:本地权限升级 (CVE-2022-23181)(外部链接) 9.0.56 误报
Apache Tomcat:低:Apache Tomcat 请求走私 (CVE-2022-42252)(外部链接) 9.0.68 误报
Apache Tomcat:低:Apache Tomcat JsonErrorReportValve 注入 (CVE-2022-45143)(外部链接) 9.0.69 误报
Apache Tomcat:温和:Open redirect (CVE-2023-41080)(外部链接) 9.0.79 误报
Apache Tomcat:重要提示:请求走私 (CVE-2023-45648)(外部链接) 9.0.81 误报
Apache Tomcat:重要提示:信息披露 (CVE-2023-42795)(外部链接) 9.0.81 误报


对于 IDPA 版本 2.7.6,ACM Apache Tomcat 的版本为 9.0.82。因此,在此之前解决的所有漏洞都可被视为误报。在 IDPA 版本 2.7.7 中,ACM 的 Apache Tomcat 已升级到版本 9.0.86,以涵盖这些未解决的漏洞。

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000226872
Article Type: Solution
Last Modified: 11 Aug 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.