Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2725-1 tomcat6

Säkerhetsbulletin från Debian

DSA-2725-1 tomcat6 -- flera sårbarheter

Rapporterat den:

2013-07-18

Berörda paket:

tomcat6

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-3544, CVE-2013-2067.

Ytterligare information:

Två säkerhetsproblem har upptäckts i Tomcat-servleten och JSP-motorn:

• CVE-2012-3544

  Inmatningsfiltret för överföringskodningar segmentsvis kunde trigga hög resurskonsumption genom felaktigt skapade CRLF-sekvenser, vilket kunde resultera i överbelastning.

• CVE-2013-2067

  Modulen FormAuthenticator var sårbar för sessionsfixering.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 6.0.35-1+squeeze3. Den här uppdateringen lägger även till rättningar för CVE-2012-2733, CVE-2012-3546, CVE-2012-4431, CVE-2012-4534, CVE-2012-5885, CVE-2012-5886 and CVE-2012-5887, som alla redan var rättade i den stabila utgåvan.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 6.0.35-6+deb7u1.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era tomcat6-paket.