Долгосрочная поддержка Debian / Информация о безопасности LTS / 2015 / Информация о безопасности -- DLA-232-1 tomcat6

Рекомендация Debian по безопасности

DLA-232-1 tomcat6 -- обновление безопасности LTS

Дата сообщения:

28.05.2015

Затронутые пакеты:

tomcat6

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 787010, Ошибка 785312, Ошибка 785316.
В каталоге Mitre CVE: CVE-2014-0227, CVE-2014-0230, CVE-2014-7810.

Более подробная информация:

В Apache Tomcat 6 были обнаружены следующие уязвимости:

• CVE-2014-0227

  Команда безопасности Tomcat определила, что можно выполнить атаку по подделке запроса HTTP или вызвать отказ в обслуживании путём передачи потока специально сформированных данных.

• CVE-2014-0230

  AntBean@secdig из команды безопасности Baidu обнаружил, что имеется возможность выполнения ограниченной атаки для вызова отказа в обслуживании путём передачи данны� через отмену загрузки.

• CVE-2014-7810

  Команда безопасности Tomcat определила, что веб-приложения злоумышленников могут обходить ограничения менеджера безопасности путём использования языка выражений.

В Debian 6 Squeeze эти проблемы были исправлены в tomcat6 версии 6.0.41-2+squeeze7.