Рекомендация Debian по безопасности
DLA-232-1 tomcat6 -- обновление безопасности LTS
- Дата сообщения:
- 28.05.2015
- Затронутые пакеты:
- tomcat6
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 787010, Ошибка 785312, Ошибка 785316.
В каталоге Mitre CVE: CVE-2014-0227, CVE-2014-0230, CVE-2014-7810. - Более подробная информация:
-
В Apache Tomcat 6 были обнаружены следующие уязвимости:
- CVE-2014-0227
Команда безопасности Tomcat определила, что можно выполнить атаку по подделке запроса HTTP или вызвать отказ в обслуживании путём передачи потока специально сформированных данных.
- CVE-2014-0230
AntBean@secdig из команды безопасности Baidu обнаружил, что имеется возможность выполнения ограниченной атаки для вызова отказа в обслуживании путём передачи данных через отмену загрузки.
- CVE-2014-7810
Команда безопасности Tomcat определила, что веб-приложения злоумышленников могут обходить ограничения менеджера безопасности путём использования языка выражений.
В Debian 6
Squeeze
эти проблемы были исправлены в tomcat6 версии 6.0.41-2+squeeze7. - CVE-2014-0227