Рекомендация Debian по безопасности

DLA-435-1 tomcat6 -- обновление безопасности LTS

Дата сообщения:
27.02.2016
Затронутые пакеты:
tomcat6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-5174, CVE-2015-5345, CVE-2015-5351, CVE-2016-0706, CVE-2016-0714, CVE-2016-0763.
Более подробная информация:

Tomcat 6, реализация спецификаций Java Servlet и JavaServer Pages (JSP), а также чистое Java-окружение для веб-сервера, содержит многочисленные проблемы безопасности в версиях до 6.0.45.

  • CVE-2015-5174

    Обход каталога в RequestUtil.java в Apache Tomcat 6.x до версии 6.0.45, 7.x до версии 7.0.65 и 8.x до версии 8.0.27 позволяет удалённым аутентифицированным пользователям обходить специальные ограничения SecurityManager и узнать содержимое родительского каталога с помощью /.. (косая черта и две точки) в имени пути, используемом веб-приложением в вызовах getResource, getResourceAsStream или getResourcePaths, что продемонстрировано каталогом $CATALINA_BASE/webapps.

  • CVE-2015-5345

    Компонент Mapper в Apache Tomcat 6.x до версии 6.0.45, 7.x до версии 7.0.67, 8.x до версии 8.0.30 и 9.x до версии 9.0.0.M2 обрабатывает перенаправления до рассмотрения к ограничениям безопасности и фильтрам, что позволяет удалённым злоумышленникам определять существование каталога с помощью URL, в конце которого отсутвует символ / (косая черта).

  • CVE-2015-5351

    Приложения Manager и Host Manager в Apache Tomcat устанавливают сессии и отправляют токены CSRF в ответ на произвольные новые запросы, что позволяет удалённым злоумышленникам обходить механизм защиты CSRF, используя токены.

  • CVE-2016-0706

    Apache Tomcat 6.x до версии 6.0.45, 7.x до версии 7.0.68, 8.x до версии 8.0.31 и 9.x до версии 9.0.0.M2 не помещает org.apache.catalina.manager.StatusManagerServlet в список org/apache /catalina/core/RestrictedServlets.properties, что позволяет удалённым аутентифицированным пользователям обходить специальные ограничения SecurityManager и считывать произвольные запросы HTTP, а затем и обнаруживать значения идентификаторов сессии при помощи специально сформированного веб-приложения.

  • CVE-2016-0714

    Реализация session-persistence в Apache Tomcat 6.x до версии 6.0.45, 7.x до версии 7.0.68, 8.x до версии 8.0.31 и 9.x до версии 9.0.0.M2 неправильно обрабатывает атрибуты сессий, что позволяет удалённым аутентифицированным пользователям обходить специальные ограничения SecurityManager и выполнять произвольный код в привилегированном контексте с помощью веб-приложения, помещающего в сессию специально сформированный объект.

  • CVE-2016-0763

    Метод setGlobalContext в org/apache/naming/factory /ResourceLinkFactory.java в Apache Tomcat не выполняет проверку авторизации вызывающих функций ResourceLinkFactory.setGlobalContext, что позволяет удалённым аутентифицированным пользователям обходить специальные ограничения SecurityManager и выполнять чтение или запись в произвольные данные приложения, либо вызывать отказ в обслуживании (сбой приложения) при помощи веб-приложения, которое создаёт специально сформированный глобальный контекст.

В Debian 6 Squeeze эти проблемы были исправлены в версии 6.0.45-1~deb6u1.

Рекомендуется обновить пакеты tomcat6.