Рекомендация Debian по безопасности

DSA-2897-1 tomcat7 -- обновление безопасности

Дата сообщения:
08.04.2014
Затронутые пакеты:
tomcat7
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-2067, CVE-2013-2071, CVE-2013-4286, CVE-2013-4322, CVE-2014-0050.
Более подробная информация:

В сервлете Tomcat и движке JSP были обнаружены многочисленные проблемы безопасности:

  • CVE-2013-2067

    Авторизация FORM ассоциирует самый последний запрос, требующий авторизации, с текущей сессией. Путём повторной отправки запроса на ресурс, требующий авторизации, в то время как жертва заполняет форму ввода сведений об учётной записи, атакующий может ввести запрос, который будет выполнен от лица жертвы.

  • CVE-2013-2071

    Исключение времени выполнения в AsyncListener.onComplete() не позволяет удалять запрос. Это может привести к раскрытию элементов предыдущего запроса в текущем запросе.

  • CVE-2013-4286

    Отклоняются запросы с множественными заголовками content-length или с заголовком content-length при использовании фрагментированного кодирования.

  • CVE-2013-4322

    При обработке запроса, переданного с использованием фрагментированного кодирования передачи, Tomcat игнорирует, но не ограничивает какие-либо включённые расширения. Это позволяет клиенту выполнить ограниченный отказ в обслуживании, отправляя неограниченное количество данных на сервер.

  • CVE-2014-0050

    Запросы из нескольких частей с некорректным заголовком Content-Type могут приводить к возникновению бесконечного цикла, который вызывает отказ в обслуживании.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 7.0.28-4+deb7u1.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 7.0.52-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 7.0.52-1.

Рекомендуется обновить пакеты tomcat7.