Säkerhetsbulletin från Debian
DSA-2401-1 tomcat6 -- flera sårbarheter
- Rapporterat den:
- 2012-02-02
- Berörda paket:
- tomcat6
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-3190, CVE-2011-3375, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i Tomcat en servlet och JSP-motor:
- CVE-2011-1184 CVE-2011-5062 CVE-2011-5063 CVE-2011-5064
Implementationen av HTTP Digest Access Authentication utförde otillräckliga motåtgärder mot replay-angrepp.
- CVE-2011-2204
I sällsynta setups skrevs lösenord till en loggfil.
- CVE-2011-2526
Saknad rengöring av indata i HTTP APR eller HTTP NIO-anslutningarna kunde leda till överbelastning.
- CVE-2011-3190
AJP-förfrågningar kunde förfalskas i vissa setups.
- CVE-2011-3375
Felaktig cachning av förfrågningar kunde leda till utlämnande av information.
- CVE-2011-4858 CVE-2012-0022
Denna uppdatering lägger till motåtgärder mot en kollisionsöverbelastningssårbarhet i Javas implementation av hastabell och adresserar potentiella överbelastningar vid beräkning av stora mängder av förfrågningar.
Ytterligare information kan hittas på http://tomcat.apache.org/security-6.html
För den stabila utgåvan (Squeeze) har detta problem rättats i version 6.0.35-1+squeeze2.
För den instabila utgåvan (Sid) har detta problem rättats i version 6.0.35-1.
Vi rekommenderar att ni uppgraderar era tomcat6-paket.
- CVE-2011-1184 CVE-2011-5062 CVE-2011-5063 CVE-2011-5064