Рекомендация Debian по безопасности
DSA-2897-1 tomcat7 -- обновление безопасности
- Дата сообщения:
- 08.04.2014
- Затронутые пакеты:
- tomcat7
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2013-2067, CVE-2013-2071, CVE-2013-4286, CVE-2013-4322, CVE-2014-0050.
- Более подробная информация:
-
В сервлете Tomcat и движке JSP были обнаружены многочисленные проблемы безопасности:
- CVE-2013-2067
Авторизация FORM ассоциирует самый последний запрос, требующий авторизации, с текущей сессией. Путём повторной отправки запроса на ресурс, требующий авторизации, в то время как жертва заполняет форму ввода сведений об учётной записи, атакующий может ввести запрос, который будет выполнен от лица жертвы.
- CVE-2013-2071
Исключение времени выполнения в AsyncListener.onComplete() не позволяет удалять запрос. Это может привести к раскрытию элементов предыдущего запроса в текущем запросе.
- CVE-2013-4286
Отклоняются запросы с множественными заголовками content-length или с заголовком content-length при использовании фрагментированного кодирования.
- CVE-2013-4322
При обработке запроса, переданного с использованием фрагментированного кодирования передачи, Tomcat игнорирует, но не ограничивает какие-либо включённые расширения. Это позволяет клиенту выполнить ограниченный отказ в обслуживании, отправляя неограниченное количество данных на сервер.
- CVE-2014-0050
Запросы из нескольких частей с некорректным заголовком Content-Type могут приводить к возникновению бесконечного цикла, который вызывает отказ в обслуживании.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 7.0.28-4+deb7u1.
В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 7.0.52-1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 7.0.52-1.
Рекомендуется обновить пакеты tomcat7.
- CVE-2013-2067