Рекомендация Debian по безопасности
DSA-2160-1 tomcat6 -- различные уязвимости
- Дата сообщения:
- 13.02.2011
- Затронутые пакеты:
- tomcat6
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 612257.
В каталоге Mitre CVE: CVE-2010-3718, CVE-2011-0013, CVE-2011-0534. - Более подробная информация:
-
Обнаружено несколько уязвимостей в Tomcat Servlet и JSP движке:
- CVE-2010-3718
Было обнаружено, что SecurityManager недостаточно ограничивает рабочий каталог.
- CVE-2011-0013
Было обнаружено, что HTML-интерфейс менеджера подвержен межсайтовому скриптингу.
- CVE-2011-0534
Было обнаружено, что NIO connector производит недостаточную проверку заголовков HTTP, что может привести к отказу в обслуживании.
Прошлый стабильный дистрибутив (Lenny) не подвержен этой проблеме.
В стабильном дистрибутиве (Squeeze) эта проблема была исправлена в версии 6.0.28-9+squeeze1.
В нестабильном дистрибутиве (Sid) эта проблема была исправлена в версии 6.0.28-10.
Мы рекомендуем вам обновить пакеты tomcat6.
- CVE-2010-3718