Информация по безопасности / 2011 / Информация о безопасности -- DSA-2160-1 tomcat6

Рекомендация Debian по безопасности

DSA-2160-1 tomcat6 -- различные уязвимости

Дата сообщения:

13.02.2011

Затронутые пакеты:

tomcat6

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 612257.
В каталоге Mitre CVE: CVE-2010-3718, CVE-2011-0013, CVE-2011-0534.

Более подробная информация:

Обнаружено несколько уязвимостей в Tomcat Servlet и JSP движке:

• CVE-2010-3718

  Было обнаружено, что SecurityManager недостаточно ограничивает рабочий каталог.

• CVE-2011-0013

  Было обнаружено, что HTML-интерфейс менеджера подвержен межсайтовому скриптингу.

• CVE-2011-0534

  Было обнаружено, что NIO connector производит недостаточную проверку заголовков HTTP, что может привести к отказу в обслуживании.

Прошлый стабильный дистрибутив (Lenny) не подвержен этой проблеме.

В стабильном дистрибутиве (Squeeze) эта проблема была исправлена в версии 6.0.28-9+squeeze1.

В нестабильном дистрибутиве (Sid) эта проблема была исправлена в версии 6.0.28-10.

Мы рекомендуем вам обновить пакеты tomcat6.