PowerProtect DP 裝置和 IDPA:在 IDPA 2.7.6 ACM 上發現的 Apache Tomcat 漏洞

Summary: PowerProtect Data Protection (DP) 系列和 Integrated Data Protection Appliance (IDPA):本文回應在 IDPA Appliance Configuration Manager (ACM) 2.7.6 版上偵測到的 Apache Tomcat 安全性漏洞。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

注意:本文僅面向 PowerProtect Data Protection 系列應用裝置或 IDPA 版本 2.7.6。
IDPA 版本 2.7.8 已發佈;建議升級到版本 2.7.8。 


本文涵蓋在 IDPA ACM 版本 2.7.6

上偵測到的下列常見漏洞與披露 (CVE):Apache Tomcat:重要:拒絕服務 (CVE-2023-44487)
Apache Tomcat:低:Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885)
Apache Tomcat:重要:Apache Tomcat 拒絕服務 (CVE-2023-24998)
Apache Tomcat:重要:Apache Tomcat 資訊揭露 (CVE-2023-28708)
Apache Tomcat:重要:要求走私 (CVE-2023-46589)
Apache Tomcat:重要:拒絕服務 (CVE-2024-23672)
Apache Tomcat:重要:拒絕服務 (CVE-2024-24549)
Apache Tomcat:重要:拒絕服務 (CVE-2021-42340)
Apache Tomcat:高:資訊揭露 (CVE-2021-43980)
Apache Tomcat:低:本機權限提高 (CVE-2022-23181)
Apache Tomcat:低:Apache Tomcat 要求走私 (CVE-2022-42252)
Apache Tomcat:低:Apache Tomcat JsonErrorReportValve injection (CVE-2022-45143)
Apache Tomcat:中等的:開啟重新導向 (CVE-2023-41080)
Apache Tomcat:重要:要求走私 (CVE-2023-45648)
Apache Tomcat:重要:資訊揭露 (CVE-2023-42795)
Apache Tomcat:重要:請求走私 (CVE-2023-46589)

Cause

若為 IDPA ACM 版本 2.7.6,Apache Tomcat 版本為 9.0.82.0。

下列命令可用來檢查 ACM 版本: 
rpm -qa |grep dataprotection

下列命令可以檢查 Apache Tomcat 版本: 
java -cp /usr/local/dataprotection/tomcat/lib/catalina.jar org.apache.catalina.util.ServerInfo

IDPA ACM 版本 2.7.6 的範例:
如何驗證 ACM Apache Tomcat 版本。
圖 1:如何驗證 ACM Apache Tomcat 版本。 
 

Resolution

重要性 漏洞 Tomcat 修正版本 解析度
High

Apache Tomcat:重要:拒絕服務 (CVE-2023-44487) (外部連結)

 9.0.80 偽陽性
Apache Tomcat:低:Apache Tomcat EncryptInterceptor DoS (CVE-2022-29885) (外部連結) 9.0.62 偽陽性
Apache Tomcat:重要:Apache Tomcat 拒絕服務 (CVE-2023-24998)(外部連結) 9.0.74 偽陽性
Apache Tomcat:重要:Apache Tomcat 資訊揭露 (CVE-2023-28708)(外部連結) 9.0.72 偽陽性
Apache Tomcat:重要:請求走私 (CVE-2023-46589)(外部連結) 9.0.83 解決方案在 IDPA 版本 2.7.7 中。
Apache Tomcat:重要:拒絕服務 (CVE-2024-23672)(外部連結) 9.0.86 解決方案在 IDPA 版本 2.7.7 中。
Apache Tomcat:重要:拒絕服務 (CVE-2024-24549)(外部連結) 9.0.86 解決方案在 IDPA 版本 2.7.7 中。
Apache Tomcat:重要:拒絕服務 (CVE-2021-42340)(外部連結) 9.0.54 偽陽性
High Apache Tomcat:高:資訊披露 (CVE-2021-43980) (外部連結) 9.0.60 偽陽性
Apache Tomcat:低:本機權限提升 (CVE-2022-23181)(外部連結) 9.0.56 偽陽性
Apache Tomcat:低:Apache Tomcat 要求走私 (CVE-2022-42252)(外部連結) 9.0.68 偽陽性
Apache Tomcat:低:Apache Tomcat JsonErrorReportValve injection (CVE-2022-45143)(外部連結) 9.0.69 偽陽性
Apache Tomcat:中等的:開啟重新導向 (CVE-2023-41080)(外部連結) 9.0.79 偽陽性
Apache Tomcat:重要:請求走私 (CVE-2023-45648)(外部連結) 9.0.81 偽陽性
Apache Tomcat:重要:資訊披露 (CVE-2023-42795)(外部連結) 9.0.81 偽陽性


若為 IDPA 版本 2.7.6,ACM Apache Tomcat 版本為 9.0.82。因此,在此之前解決的所有漏洞都可視為偽陽性。在 IDPA 版本 2.7.7 中,ACM 的 Apache Tomcat 已升級至版本 9.0.86,以涵蓋那些未解決的漏洞。

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000226872
Article Type: Solution
Last Modified: 11 Aug 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.