Debian セキュリティ勧告

DSA-2401-1 tomcat6 -- 複数の脆弱性

報告日時:
2012-02-02
影響を受けるパッケージ:
tomcat6
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-3190, CVE-2011-3375, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022.
詳細:

サーブレット及び JSP エンジン Tomcat に複数の欠陥が発見されました。

  • CVE-2011-1184 CVE-2011-5062 CVE-2011-5063 CVE-2011-5064

    HTTP ダイジェストアクセス認証実装には、リプレイ攻撃に対する防御策 が不十分でした。

  • CVE-2011-2204

    希な設定下で、設定パスワードがログファイルに書き込まれてしまいます。

  • CVE-2011-2526

    HTTP APR および HTTP NIO コネクタで入力のサニタイズが抜けているた め、サービス拒否攻撃の可能性があります。

  • CVE-2011-3190

    AJP リクエストが、一部の設定下で詐称可能です。

  • CVE-2011-3375

    リクエストキャッシング処理の誤りにより、情報漏洩の可能性があります。

  • CVE-2011-4858 CVE-2012-0022

    この更新では、多量のリクエストを処理する際の Java ハッシュテーブル 実装の破壊と、サービス拒否攻撃の可能性に対する防御策を追加していま す。

詳しい情報は、http://tomcat.apache.org/security-6.html を参照ください。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 6.0.35-1+squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 6.0.35-1 で修正されています。

直ぐに tomcat6 パッケージをアップグレードすることを勧めます。