Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2160-1 tomcat6

Debians sikkerhedsbulletin

DSA-2160-1 tomcat6 -- flere sårbarheder

Rapporteret den:

13. feb 2011

Berørte pakker:

tomcat6

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 612257.
I Mitres CVE-ordbog: CVE-2010-3718, CVE-2011-0013, CVE-2011-0534.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Tomcat Servlet- og JSP-maskinen:

• CVE-2010-3718

  Man opdagede at SecurityManager på utilstrækkelig vis begrænsede arbejdsmappen.

• CVE-2011-0013

  Man opdagede at HTML-managerinterfacet var på virket af en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder.

• CVE-2011-0534

  Man opdagede at NIO-connectoren udførte utilstrækkelig validering af HTTP-headerne, hvilket kunne føre til lammelsesangreb (denial of service).

Den gamle stabile distribution (lenny) er ikke påvirket af disse problemer.

I den stabile distribution (squeeze), er dette problem rettet i version 6.0.28-9+squeeze1.

I den ustabile distribution (sid), er dette problem rettet i version 6.0.28-10.

Vi anbefaler at du opgraderer dine tomcat6-pakker.