セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2160-1 tomcat6

Debian セキュリティ勧告

DSA-2160-1 tomcat6 -- 複数の脆弱性

報告日時:

2011-02-13

影響を受けるパッケージ:

tomcat6

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 612257.
Mitre の CVE 辞書: CVE-2010-3718, CVE-2011-0013, CVE-2011-0534.

詳細:

サーブレットおよび JSP エンジン Tomcat に複数の欠陥が発見されました。

• CVE-2010-3718

  SecurityManager がワーキングディレクトリの権限を不十分にしか制限していないことが発見されました。

• CVE-2011-0013

  HTML マネージャインターフェースにクロスサイトスクリプティング脆弱性が発見されました。

• CVE-2011-0534

  NIO コネクタが HTTP ヘッダを不十分にしか検証しておらず、サービス拒否攻撃に繋がる可能性があることが発見されました。

旧安定版 (lenny) のパッケージはこの問題の影響を受けません。

安定版 (stable) ディストリビューション (squeeze) では、 この問題はバージョン 6.0.28-9+squeeze1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、 この問題はバージョン 6.0.28-10 で修正されています。

直ぐに tomcat6 パッケージをアップグレードすることを勧めます。