Debians sikkerhedsbulletin

DSA-2401-1 tomcat6 -- flere sårbarheder

Rapporteret den:
2. feb 2012
Berørte pakker:
tomcat6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-3190, CVE-2011-3375, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Tomcat, en servlet- og JSP-maskine:

  • CVE-2011-1184 CVE-2011-5062 CVE-2011-5063 CVE-2011-5064

    Implementeringen af HTTP Digest Access Authentication udførte utilstrækkelige foranstaltninger mod replay-angreb.

  • CVE-2011-2204

    I sjældne opsætninger blev adgangskoder skrevet til en logfil.

  • CVE-2011-2526

    Manglende fornuftighedskontrol af inddata i HTTP APR- og HTTP NIO-connectors, kunne føre til lammelsesangreb (denial of service).

  • CVE-2011-3190

    AJP-forespørgsler kunne forfalskes i nogle opsætninger.

  • CVE-2011-3375

    Ukorrekt caching af forespørgsler kunne føre til informationsafsløring.

  • CVE-2011-4858 CVE-2012-0022

    Denne opdatering tilføjer foranstaltninger mod en kollisionslammelsesangrebssårbarhed i implementeringen af Java-hashtable og løser lammelsesangrebspotentialer ved behandling af store mængder forespørgsler.

Flere oplysninger findes på http://tomcat.apache.org/security-6.html

I den stabile distribution (squeeze), er dette problem rettet i version 6.0.35-1+squeeze2.

I den ustabile distribution (sid), er dette problem rettet i version 6.0.35-1.

Vi anbefaler at du opgraderer dine tomcat6-pakker.