Долгосрочная поддержка Debian / Информация о безопасности LTS / 2014 / Информация о безопасности -- DLA-91-1 tomcat6

Рекомендация Debian по безопасности

DLA-91-1 tomcat6 -- обновление безопасности LTS

Дата сообщения:

23.11.2014

Затронутые пакеты:

tomcat6

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 299635, Ошибка 608286, Ошибка 654136, Ошибка 659748, Ошибка 664072, Ошибка 665393, Ошибка 666256, Ошибка 668761.
В каталоге Mitre CVE: CVE-2012-3439, CVE-2013-1571, CVE-2013-4286, CVE-2013-4322, CVE-2013-4590, CVE-2014-0033.

Более подробная информация:

Данное обновление tomcat с версии 6.0.35 (версия, которая была ранее доступна в squeeze) до версии 6.0.41, полный список изменений между этими версиями можно посмотреть в журнале изменений основной ветки разработки, которая доступна по адресу http://tomcat.apache.org/tomcat-6.0-doc/changelog.html

Данное обновление исправляет следующие проблемы безопасности, которые ранее не были исправлены в squeeze:

• CVE-2014-0033

  Предотвращение атак удалённых злоумышленников по фиксации сессии с помощью специально сформированных URL.

• CVE-2013-4590

  Предотвращение утечек внутренней информации Tomcat.

• CVE-2013-4322

  Предотвращение атак удалённых злоумышленников с целью вызова отказа в обслуживании.

• CVE-2013-4286

  Отклонение запросов с множественными заголовками с указанием длины содержимого или с одним заголовком с указанием длины содержимого, но при использовании порционной кодировки.

• CVE-2013-1571

  Избегание CVE-2013-1571 при порождении Javadoc.

• CVE-2012-3439

  Различные улучшения аутентификатора DIGEST.

В Debian 6 Squeeze эти проблемы были исправлены в пакете tomcat6 версии 6.0.41-2+squeeze5

Благодарим Тони Манчилли за большую часть работы над этим обновлением!