セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2725-1 tomcat6

Debian セキュリティ勧告

DSA-2725-1 tomcat6 -- 複数の脆弱性

報告日時:

2013-07-18

影響を受けるパッケージ:

tomcat6

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-3544, CVE-2013-2067.

詳細:

セキュリティ問題が2件、Tomcat サーブレット及び JSP エンジンに見つかりました:

• CVE-2012-3544

  chunked transfer encoding 用の入力フィルタが異常な CRLF の並びを経由して、 リソースの大量消費によるサービス拒否を引き起こす可能性があります。

• CVE-2013-2067

  FormAuthenticator モジュールはセッション固定に対して脆弱です。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 6.0.35-1+squeeze3 で修正されています。この更新では安定版 (stable) では全て既に修正済みのCVE-2012-2733、CVE-2012-3546、CVE-2012-4431、CVE-2012-4534、CVE-2012-5885、CVE-2012-5886、CVE-2012-5887 に対する修正も提供しています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 6.0.35-6+deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) ではこの問題は近く修正予定です。

直ちに tomcat6 パッケージをアップグレードすることを勧めます。