Рекомендация Debian по безопасности

DSA-2160-1 tomcat6 -- различные уязвимости

Дата сообщения:
13.02.2011
Затронутые пакеты:
tomcat6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 612257.
В каталоге Mitre CVE: CVE-2010-3718, CVE-2011-0013, CVE-2011-0534.
Более подробная информация:

Обнаружено несколько уязвимостей в Tomcat Servlet и JSP движке:

  • CVE-2010-3718

    Было обнаружено, что SecurityManager недостаточно ограничивает рабочий каталог.

  • CVE-2011-0013

    Было обнаружено, что HTML-интерфейс менеджера подвержен межсайтовому скриптингу.

  • CVE-2011-0534

    Было обнаружено, что NIO connector производит недостаточную проверку заголовков HTTP, что может привести к отказу в обслуживании.

Прошлый стабильный дистрибутив (Lenny) не подвержен этой проблеме.

В стабильном дистрибутиве (Squeeze) эта проблема была исправлена в версии 6.0.28-9+squeeze1.

В нестабильном дистрибутиве (Sid) эта проблема была исправлена в версии 6.0.28-10.

Мы рекомендуем вам обновить пакеты tomcat6.