Debians sikkerhedsbulletin
DSA-2401-1 tomcat6 -- flere sårbarheder
- Rapporteret den:
- 2. feb 2012
- Berørte pakker:
- tomcat6
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-3190, CVE-2011-3375, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Tomcat, en servlet- og JSP-maskine:
- CVE-2011-1184 CVE-2011-5062 CVE-2011-5063 CVE-2011-5064
Implementeringen af HTTP Digest Access Authentication udførte utilstrækkelige foranstaltninger mod replay-angreb.
- CVE-2011-2204
I sjældne opsætninger blev adgangskoder skrevet til en logfil.
- CVE-2011-2526
Manglende fornuftighedskontrol af inddata i HTTP APR- og HTTP NIO-connectors, kunne føre til lammelsesangreb (denial of service).
- CVE-2011-3190
AJP-forespørgsler kunne forfalskes i nogle opsætninger.
- CVE-2011-3375
Ukorrekt caching af forespørgsler kunne føre til informationsafsløring.
- CVE-2011-4858 CVE-2012-0022
Denne opdatering tilføjer foranstaltninger mod en kollisionslammelsesangrebssårbarhed i implementeringen af Java-hashtable og løser lammelsesangrebspotentialer ved behandling af store mængder forespørgsler.
Flere oplysninger findes på http://tomcat.apache.org/security-6.html
I den stabile distribution (squeeze), er dette problem rettet i version 6.0.35-1+squeeze2.
I den ustabile distribution (sid), er dette problem rettet i version 6.0.35-1.
Vi anbefaler at du opgraderer dine tomcat6-pakker.
- CVE-2011-1184 CVE-2011-5062 CVE-2011-5063 CVE-2011-5064