Serwis informatyczny POA

Dostępne są łaty dla serwera www Apache do obsługi technologii Java Servlets i Java Server Pages. Poprawki eliminują trzy usterki.

Podczas odbierania pakietów ze zmanipulowanymi nagłówkami Tomcat zamyka konektor AJP bez zgłoszenia komunikatu o błędzie, co szczególnie w środowiskach typu Load Balancing daje się wykorzystać do przeprowadzenia ataków typu DoS.

W pewnych sytuacjach przekazywanie haseł z nieprawidłowymi parametrami kodowania w adresach URL pozwala stwierdzić, czy podana nazwa użytkownika jest poprawna. Potencjalny napastnik może wykorzystać tę okoliczność do przygotowania dalszych ataków.

Zgodnie z komunikatem producenta wadliwe są następujące wydania Tomcata: 6.0.0 do 6.0.18, 5.5.0 do 5.5.27 oraz 4.1.0 do 4.1.39.

Wersja 6.0.20 jest wolna od opisanych usterek. Naprawione będą przyszłe edycje oznaczone numerami 5.5.28 i 4.1.40, termin publikacji nie jest ustalony.

Zobacz także

• Apache Tomcat User enumeration vulnerability with FORM authentication, komunikat programistów
• Apache Tomcat DoS when using Java AJP connector, komunikat programistów