PowerProtect DP Appliance e IDPA: Vulnerabilità di Apache Tomcat individuate in IDPA 2.7.6 ACM

Summary: Serie PowerProtect Data Protection (DP) e Integrated Data Protection Appliance (IDPA): Questo articolo risponde alle vulnerabilità di sicurezza di Apache Tomcat rilevate in IDPA Appliance Configuration Manager (ACM) versione 2.7.6. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

NOTA: Questo articolo è destinato solo agli appliance della serie PowerProtect Data Protection o a IDPA versione 2.7.6.
È stata rilasciata la versione 2.7.8 di IDPA; Si consiglia l'aggiornamento alla versione 2.7.8. 


Questo articolo illustra le seguenti vulnerabilità ed esposizioni comuni (CVE) rilevate in IDPA ACM versione 2.7.6:

Apache Tomcat: Importante: Denial of Service (CVE-2023-44487)
Apache Tomcat: Basso: Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885)
Apache Tomcat: Importante: Denial of Service di Apache Tomcat (CVE-2023-24998)
Apache Tomcat: Importante: Divulgazione delle informazioni su Apache Tomcat (CVE-2023-28708)
Apache Tomcat: Importante: Richiesta di contrabbando (CVE-2023-46589)
Apache Tomcat: Importante: Denial of Service (CVE-2024-23672)
Apache Tomcat: Importante: Denial of Service (CVE-2024-24549)
Apache Tomcat: Importante: Denial of Service (CVE-2021-42340)
Apache Tomcat: Alto: Divulgazione delle informazioni (CVE-2021-43980)
Apache Tomcat: Basso: Escalation dei privilegi locali (CVE-2022-23181)
Apache Tomcat: Basso: Richiesta di contrabbando di Apache Tomcat (CVE-2022-42252)
Apache Tomcat: Basso: Json Apache TomcatErrorReportIniezione della valvola (CVE-2022-45143)
Apache Tomcat: Moderato: Reindirizzamento aperto (CVE-2023-41080)
Apache Tomcat: Importante: Richiesta di contrabbando (CVE-2023-45648)
Apache Tomcat: Importante: Divulgazione delle informazioni (CVE-2023-42795)
Apache Tomcat: Importante: Richiesta di contrabbando (CVE-2023-46589)

Cause

Per IDPA ACM versione 2.7.6, Apache Tomcat è nella versione 9.0.82.0.

Per controllare la versione di ACM, è possibile utilizzare il seguente comando: 
rpm -qa |grep dataprotection

Il seguente comando può controllare la versione di Apache Tomcat: 
java -cp /usr/local/dataprotection/tomcat/lib/catalina.jar org.apache.catalina.util.ServerInfo

Esempio tratto da IDPA ACM versione 2.7.6:
Come verificare la versione di ACM Apache Tomcat.
Figura 1: Come verificare la versione di ACM Apache Tomcat. 
 

Resolution

Gravità Vulnerabilità Tomcat versione fissa Risoluzione
Alto

Apache Tomcat: Importante: Denial of Service (CVE-2023-44487) (Link esterno)

 9.0.80 Falso positivo
Medio Apache Tomcat: Basso: Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885) (Link esterno) 9.0.62 Falso positivo
Medio Apache Tomcat: Importante: Denial of Service di Apache Tomcat (CVE-2023-24998)(Link esterno) 9.0.74 Falso positivo
Medio Apache Tomcat: Importante: Divulgazione delle informazioni su Apache Tomcat (CVE-2023-28708)(Link esterno) 9.0.72 Falso positivo
Medio Apache Tomcat: Importante: Richiesta di contrabbando (CVE-2023-46589)(Link esterno) 9.0.83 La risoluzione è in IDPA versione 2.7.7.
Medio Apache Tomcat: Importante: Denial of Service (CVE-2024-23672)(Link esterno) 9.0.86 La risoluzione è in IDPA versione 2.7.7.
Medio Apache Tomcat: Importante: Denial of Service (CVE-2024-24549)(Link esterno) 9.0.86 La risoluzione è in IDPA versione 2.7.7.
Medio Apache Tomcat: Importante: Denial of Service (CVE-2021-42340)(Link esterno) 9.0.54 Falso positivo
Alto Apache Tomcat: Alto: Informativa sulla privacy (CVE-2021-43980) (Link esterno) 9.0.60 Falso positivo
Medio Apache Tomcat: Basso: Escalation dei privilegi locali (CVE-2022-23181)(Link esterno) 9.0.56 Falso positivo
Medio Apache Tomcat: Basso: Richiesta di contrabbando di Apache Tomcat (CVE-2022-42252)(Link esterno) 9.0.68 Falso positivo
Medio Apache Tomcat: Basso: Iniezione di Apache Tomcat JsonErrorReportValve (CVE-2022-45143)(Link esterno) 9.0.69 Falso positivo
Medio Apache Tomcat: Moderato: Reindirizzamento aperto (CVE-2023-41080)(Link esterno) 9.0.79 Falso positivo
Medio Apache Tomcat: Importante: Richiesta di contrabbando (CVE-2023-45648)(Link esterno) 9.0.81 Falso positivo
Medio Apache Tomcat: Importante: Informativa sulla privacy (CVE-2023-42795)(Link esterno) 9.0.81 Falso positivo


Per IDPA versione 2.7.6, ACM Apache Tomcat è nella versione 9.0.82. Pertanto, tutte le vulnerabilità risolte in precedenza possono essere considerate falsi positivi. Nella versione 2.7.7 di IDPA, Apache Tomcat di ACM viene aggiornato alla versione 9.0.86 per coprire queste vulnerabilità in sospeso.

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000226872
Article Type: Solution
Last Modified: 11 Aug 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.