Flere fjernudnytbare sårbarheder er opdaget i Tomcats servlet- og JSP-maskine. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
Man har opdaget at enkeltanførselstegn (') i cookier blev behandlet som skilletegn, hvilket kunne føre til en informationslækage.
Man har opdaget at tegnsekvensen \" i cookier blev håndteret ukorrekt, hvilket kunne føre til en informationslækage.
Man har opdaget at en host manager-servlet'en udførte utilstrækkelig
kontrol af inddata, hvilket kunne føre til et angreb i forbindelse med
udførelse af skripter på tværs af websteder (cross-site scripting
).
Man har opdaget at JULI-logningskomponenten ikke opsatte begrænsninger på sin målsti, hvilket potentielt kunne medføre lammelsesangreb gennem filoverskrivninger.
Man har opdaget at WebDAV-servlet'en var sårbar over for et absolut mappegennemløb.
Den gamle stabile distribution (sarge) indeholder ikke tomcat5.5.
I den stabile distribution (etch), er disse problemer rettet i version 5.5.20-2etch1.
I den ustabile distribution (sid) vil disse problemer snart blive rettet.
Vi anbefaler at du opgraderer dine tomcat5.5-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.