PowerProtect DP Appliances und IDPA: Apache Tomcat-Sicherheitslücken auf IDPA 2.7.6 ACM gefunden

Summary: PowerProtect Data Protection (DP) Serie und die Integrated Data Protection Appliance (IDPA): Dieser Artikel reagiert auf Apache Tomcat-Sicherheitslücken, die in IDPA Appliance Configuration Manager (ACM) Version 2.7.6 erkannt wurden. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

HINWEIS: Dieser Artikel bezieht sich nur auf Appliances der PowerProtect Data Protection Series oder IDPA-Version 2.7.6.
IDPA-Version 2.7.8 wurde veröffentlicht. Ein Upgrade auf Version 2.7.8 wird empfohlen. 


Dieser Artikel behandelt die folgenden häufigen Schwachstellen und Anfälligkeiten (CVE), die auf IDPA ACM Version 2.7.6 erkannt wurden:

Apache Tomcat: Wichtig: Denial-of-Service (CVE-2023-44487)
Apache Tomcat: Niedrig: Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885)
Apache Tomcat: Wichtig: Apache Tomcat Denial of Service (CVE-2023-24998)
Apache Tomcat: Wichtig: Offenlegung von Informationen zu Apache Tomcat (CVE-2023-28708)
Apache Tomcat: Wichtig: Request Smuggling (CVE-2023-46589)
Apache Tomcat: Wichtig: Denial-of-Service (CVE-2024-23672)
Apache Tomcat: Wichtig: Denial-of-Service (CVE-2024-24549)
Apache Tomcat: Wichtig: Denial-of-Service (CVE-2021-42340)
Apache Tomcat: Hoch: Offenlegung von Informationen (CVE-2021-43980)
Apache Tomcat: Niedrig: Eskalation lokaler Rechte (CVE-2022-23181)
Apache Tomcat: Niedrig: Schmuggel von Apache Tomcat-Anfragen (CVE-2022-42252)
Apache Tomcat: Niedrig: Apache Tomcat JsonErrorReportValve injection (CVE-2022-45143)
Apache Tomcat: Mäßig: Offene Weiterleitung (CVE-2023-41080)
Apache Tomcat: Wichtig: Request Smuggling (CVE-2023-45648)
Apache Tomcat: Wichtig: Offenlegung von Informationen (CVE-2023-42795)
Apache Tomcat: Wichtig: Ersuchen um Schmuggel (CVE-2023-46589)

Cause

In IDPA ACM Version 2.7.6 ist Apache Tomcat auf Version 9.0.82.0 ausgeführt.

Der folgende Befehl kann verwendet werden, um die ACM-Version zu überprüfen: 
rpm -qa |grep dataprotection

Mit dem folgenden Befehl kann die Apache Tomcat-Version überprüft werden: 
java -cp /usr/local/dataprotection/tomcat/lib/catalina.jar org.apache.catalina.util.ServerInfo

Ein Beispiel aus einer IDPA ACM-Version 2.7.6:
So überprüfen Sie die ACM Apache Tomcat-Version.
Abbildung 1: So überprüfen Sie die ACM Apache Tomcat-Version. 
 

Resolution

Schweregrad Schwachstellen Korrigierte Tomcat-Version Auflösung
High

Apache Tomcat: Wichtig: Denial-of-Service (CVE-2023-44487) (externer Link)

 9.0.80 Falsch positives Ergebnis
Mittel Apache Tomcat: Niedrig: Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885) (externer Link) 9.0.62 Falsch positives Ergebnis
Mittel Apache Tomcat: Wichtig: Apache Tomcat Denial-of-Service (CVE-2023-24998)(externer Link) 9.0.74 Falsch positives Ergebnis
Mittel Apache Tomcat: Wichtig: Informationen zu Apache Tomcat (CVE-2023-28708)(externer Link) 9.0.72 Falsch positives Ergebnis
Mittel Apache Tomcat: Wichtig: Ersuchen Schmuggel (CVE-2023-46589)(externer Link) 9.0.83 Die Lösung befindet sich in IDPA-Version 2.7.7.
Mittel Apache Tomcat: Wichtig: Denial-of-Service (CVE-2024-23672)(externer Link) 9.0.86 Die Lösung befindet sich in IDPA-Version 2.7.7.
Mittel Apache Tomcat: Wichtig: Denial-of-Service (CVE-2024-24549)(externer Link) 9.0.86 Die Lösung befindet sich in IDPA-Version 2.7.7.
Mittel Apache Tomcat: Wichtig: Denial-of-Service (CVE-2021-42340)(externer Link) 9.0.54 Falsch positives Ergebnis
High Apache Tomcat: Hoch: Offenlegung von Informationen (CVE-2021-43980) (externer Link) 9.0.60 Falsch positives Ergebnis
Mittel Apache Tomcat: Niedrig: Eskalation lokaler Berechtigungen (CVE-2022-23181)(externer Link) 9.0.56 Falsch positives Ergebnis
Mittel Apache Tomcat: Niedrig: Apache Tomcat Request Smuggling (CVE-2022-42252)(externer Link) 9.0.68 Falsch positives Ergebnis
Mittel Apache Tomcat: Niedrig: Apache Tomcat JsonErrorReportValve Injection (CVE-2022-45143)(externer Link) 9.0.69 Falsch positives Ergebnis
Mittel Apache Tomcat: Mäßig: Offene Weiterleitung (CVE-2023-41080)(externer Link) 9.0.79 Falsch positives Ergebnis
Mittel Apache Tomcat: Wichtig: Ersuchen Schmuggel (CVE-2023-45648)(externer Link) 9.0.81 Falsch positives Ergebnis
Mittel Apache Tomcat: Wichtig: Offenlegung von Informationen (CVE-2023-42795)(externer Link) 9.0.81 Falsch positives Ergebnis


Für IDPA Version 2.7.6 ist ACM Apache Tomcat auf Version 9.0.82 eingestellt. Daher können alle zuvor behobenen Sicherheitslücken als falsch positiv betrachtet werden. In IDPA-Version 2.7.7 wird Apache Tomcat von ACM auf Version 9.0.86 aktualisiert, um diese offenen Sicherheitslücken abzudecken.

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000226872
Article Type: Solution
Last Modified: 11 Aug 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.