Säkerhetsbulletin från Debian

DSA-2401-1 tomcat6 -- flera sårbarheter

Rapporterat den:
2012-02-02
Berörda paket:
tomcat6
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-3190, CVE-2011-3375, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022.
Ytterligare information:

Flera sårbarheter har upptäckts i Tomcat en servlet och JSP-motor:

  • CVE-2011-1184 CVE-2011-5062 CVE-2011-5063 CVE-2011-5064

    Implementationen av HTTP Digest Access Authentication utförde otillräckliga motåtgärder mot replay-angrepp.

  • CVE-2011-2204

    I sällsynta setups skrevs lösenord till en loggfil.

  • CVE-2011-2526

    Saknad rengöring av indata i HTTP APR eller HTTP NIO-anslutningarna kunde leda till överbelastning.

  • CVE-2011-3190

    AJP-förfrågningar kunde förfalskas i vissa setups.

  • CVE-2011-3375

    Felaktig cachning av förfrågningar kunde leda till utlämnande av information.

  • CVE-2011-4858 CVE-2012-0022

    Denna uppdatering lägger till motåtgärder mot en kollisionsöverbelastningssårbarhet i Javas implementation av hastabell och adresserar potentiella överbelastningar vid beräkning av stora mängder av förfrågningar.

Ytterligare information kan hittas på http://tomcat.apache.org/security-6.html

För den stabila utgåvan (Squeeze) har detta problem rättats i version 6.0.35-1+squeeze2.

För den instabila utgåvan (Sid) har detta problem rättats i version 6.0.35-1.

Vi rekommenderar att ni uppgraderar era tomcat6-paket.