Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2401-1 tomcat6

Debians sikkerhedsbulletin

DSA-2401-1 tomcat6 -- flere sårbarheder

Rapporteret den:

2. feb 2012

Berørte pakker:

tomcat6

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-3190, CVE-2011-3375, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Tomcat, en servlet- og JSP-maskine:

• CVE-2011-1184 CVE-2011-5062 CVE-2011-5063 CVE-2011-5064

  Implementeringen af HTTP Digest Access Authentication udførte utilstrækkelige foranstaltninger mod replay-angreb.

• CVE-2011-2204

  I sjældne opsætninger blev adgangskoder skrevet til en logfil.

• CVE-2011-2526

  Manglende fornuftighedskontrol af inddata i HTTP APR- og HTTP NIO-connectors, kunne føre til lammelsesangreb (denial of service).

• CVE-2011-3190

  AJP-forespørgsler kunne forfalskes i nogle opsætninger.

• CVE-2011-3375

  Ukorrekt caching af forespørgsler kunne føre til informationsafsløring.

• CVE-2011-4858 CVE-2012-0022

  Denne opdatering tilføjer foranstaltninger mod en kollisionslammelsesangrebssårbarhed i implementeringen af Java-hashtable og løser lammelsesangrebspotentialer ved behandling af store mængder forespørgsler.

Flere oplysninger findes på http://tomcat.apache.org/security-6.html

I den stabile distribution (squeeze), er dette problem rettet i version 6.0.35-1+squeeze2.

I den ustabile distribution (sid), er dette problem rettet i version 6.0.35-1.

Vi anbefaler at du opgraderer dine tomcat6-pakker.