Debians sikkerhedsbulletin

DSA-2160-1 tomcat6 -- flere sårbarheder

Rapporteret den:
13. feb 2011
Berørte pakker:
tomcat6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 612257.
I Mitres CVE-ordbog: CVE-2010-3718, CVE-2011-0013, CVE-2011-0534.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Tomcat Servlet- og JSP-maskinen:

  • CVE-2010-3718

    Man opdagede at SecurityManager på utilstrækkelig vis begrænsede arbejdsmappen.

  • CVE-2011-0013

    Man opdagede at HTML-managerinterfacet var på virket af en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder.

  • CVE-2011-0534

    Man opdagede at NIO-connectoren udførte utilstrækkelig validering af HTTP-headerne, hvilket kunne føre til lammelsesangreb (denial of service).

Den gamle stabile distribution (lenny) er ikke påvirket af disse problemer.

I den stabile distribution (squeeze), er dette problem rettet i version 6.0.28-9+squeeze1.

I den ustabile distribution (sid), er dette problem rettet i version 6.0.28-10.

Vi anbefaler at du opgraderer dine tomcat6-pakker.