Рекомендация Debian по безопасности

DLA-232-1 tomcat6 -- обновление безопасности LTS

Дата сообщения:
28.05.2015
Затронутые пакеты:
tomcat6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 787010, Ошибка 785312, Ошибка 785316.
В каталоге Mitre CVE: CVE-2014-0227, CVE-2014-0230, CVE-2014-7810.
Более подробная информация:

В Apache Tomcat 6 были обнаружены следующие уязвимости:

  • CVE-2014-0227

    Команда безопасности Tomcat определила, что можно выполнить атаку по подделке запроса HTTP или вызвать отказ в обслуживании путём передачи потока специально сформированных данных.

  • CVE-2014-0230

    AntBean@secdig из команды безопасности Baidu обнаружил, что имеется возможность выполнения ограниченной атаки для вызова отказа в обслуживании путём передачи данных через отмену загрузки.

  • CVE-2014-7810

    Команда безопасности Tomcat определила, что веб-приложения злоумышленников могут обходить ограничения менеджера безопасности путём использования языка выражений.

В Debian 6 Squeeze эти проблемы были исправлены в tomcat6 версии 6.0.41-2+squeeze7.