Equipamentos PowerProtect DP e IDPA: Vulnerabilidades do Apache Tomcat encontradas no ACM do IDPA 2.7.6

Summary: Série PowerProtect Data Protection (DP) e Integrated Data Protection Appliance (IDPA): Este artigo responde às vulnerabilidades de segurança do Apache Tomcat detectadas no IDPA Appliance Configuration Manager (ACM) versão 2.7.6. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Nota: Este artigo é destinado apenas a equipamentos PowerProtect Data Protection Series ou ao IDPA versão 2.7.6.
A versão 2.7.8 do IDPA foi lançada; É recomendável fazer upgrade para a versão 2.7.8. 


Este artigo aborda as seguintes vulnerabilidades e exposições comuns (CVE) detectadas no IDPA ACM versão 2.7.6:

Apache Tomcat: Importante: Negação de serviço (CVE-2023-44487)
Apache Tomcat: Baixo: Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885)
Apache Tomcat: Importante: Negação de serviço do Apache Tomcat (CVE-2023-24998)
Apache Tomcat: Importante: Divulgação de informações do Apache Tomcat (CVE-2023-28708)
Apache Tomcat: Importante: Contrabando de solicitações (CVE-2023-46589)
Apache Tomcat: Importante: Negação de serviço (CVE-2024-23672)
Apache Tomcat: Importante: Negação de serviço (CVE-2024-24549)
Apache Tomcat: Importante: Negação de serviço (CVE-2021-42340)
Apache Tomcat: Alta: Divulgação de informações (CVE-2021-43980)
Apache Tomcat: Baixo: Encaminhamento de privilégios locais (CVE-2022-23181)
Apache Tomcat: Baixo: Contrabando de solicitações do Apache Tomcat (CVE-2022-42252)
Apache Tomcat: Baixo: Injeção de JsonErrorReportValve do Apache Tomcat (CVE-2022-45143)
Apache Tomcat: Moderado: Redirecionamento aberto (CVE-2023-41080)
Apache Tomcat: Importante: Contrabando de solicitações (CVE-2023-45648)
Apache Tomcat: Importante: Divulgação de informações (CVE-2023-42795)
Apache Tomcat: Importante: Solicitar contrabando (CVE-2023-46589)

Cause

Para o ACM do IDPA versão 2.7.6, o Apache Tomcat está na versão 9.0.82.0.

O seguinte comando pode ser usado para verificar a versão do ACM: 
rpm -qa |grep dataprotection

O seguinte comando pode verificar a versão do Apache Tomcat: 
java -cp /usr/local/dataprotection/tomcat/lib/catalina.jar org.apache.catalina.util.ServerInfo

Um exemplo de um ACM do IDPA versão 2.7.6:
Como verificar a versão do Apache Tomcat do ACM.
Figura 1: Como verificar a versão do Apache Tomcat do ACM. 
 

Resolution

Severidade Vulnerabilidades Versão corrigida do Tomcat Resolução
High

Apache Tomcat: Importante: Negação de serviço (CVE-2023-44487) (Link externo)

 9.0.80 Falso positivo
Média Apache Tomcat: Baixo: Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885) (Link externo) 9.0.62 Falso positivo
Média Apache Tomcat: Importante: Negação de serviço do Apache Tomcat (CVE-2023-24998)(Link externo) 9.0.74 Falso positivo
Média Apache Tomcat: Importante: Divulgação de informações do Apache Tomcat (CVE-2023-28708)(Link externo) 9.0.72 Falso positivo
Média Apache Tomcat: Importante: Solicitar contrabando (CVE-2023-46589)(Link externo) 9.0.83 A resolução está na versão 2.7.7 do IDPA.
Média Apache Tomcat: Importante: Negação de serviço (CVE-2024-23672)(Link externo) 9.0.86 A resolução está na versão 2.7.7 do IDPA.
Média Apache Tomcat: Importante: Negação de serviço (CVE-2024-24549)(Link externo) 9.0.86 A resolução está na versão 2.7.7 do IDPA.
Média Apache Tomcat: Importante: Negação de serviço (CVE-2021-42340)(Link externo) 9.0.54 Falso positivo
High Apache Tomcat: Alta: Divulgação de informações (CVE-2021-43980) (Link externo) 9.0.60 Falso positivo
Média Apache Tomcat: Baixo: Escalonamento de privilégios locais (CVE-2022-23181)(Link externo) 9.0.56 Falso positivo
Média Apache Tomcat: Baixo: Solicitação de contrabando do Apache Tomcat (CVE-2022-42252)(Link externo) 9.0.68 Falso positivo
Média Apache Tomcat: Baixo: Injeção Apache Tomcat JsonErrorReportValve (CVE-2022-45143)(Link externo) 9.0.69 Falso positivo
Média Apache Tomcat: Moderado: Redirecionamento aberto (CVE-2023-41080)(Link externo) 9.0.79 Falso positivo
Média Apache Tomcat: Importante: Solicitar contrabando (CVE-2023-45648)(Link externo) 9.0.81 Falso positivo
Média Apache Tomcat: Importante: Divulgação de informações (CVE-2023-42795)(Link externo) 9.0.81 Falso positivo


Para o IDPA versão 2.7.6, o Apache Tomcat do ACM está na versão 9.0.82. Portanto, todas as vulnerabilidades resolvidas antes disso podem ser consideradas falsos positivos. Na versão 2.7.7 do IDPA, o Apache Tomcat do ACM recebe upgrade para a versão 9.0.86 a fim de cobrir essas vulnerabilidades pendentes.

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000226872
Article Type: Solution
Last Modified: 11 Aug 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.