Poprawki dla Apache Tomcat
Dostępne są łaty dla serwera www Apache do obsługi technologii Java Servlets i Java Server Pages. Poprawki eliminują trzy usterki.
Podczas odbierania pakietów ze zmanipulowanymi nagłówkami Tomcat zamyka konektor AJP bez zgłoszenia komunikatu o błędzie, co szczególnie w środowiskach typu Load Balancing daje się wykorzystać do przeprowadzenia ataków typu DoS.
W pewnych sytuacjach przekazywanie haseł z nieprawidłowymi parametrami kodowania w adresach URL pozwala stwierdzić, czy podana nazwa użytkownika jest poprawna. Potencjalny napastnik może wykorzystać tę okoliczność do przygotowania dalszych ataków.
Zgodnie z komunikatem producenta wadliwe są następujące wydania Tomcata: 6.0.0 do 6.0.18, 5.5.0 do 5.5.27 oraz 4.1.0 do 4.1.39.
Wersja 6.0.20 jest wolna od opisanych usterek. Naprawione będą przyszłe edycje oznaczone numerami 5.5.28 i 4.1.40, termin publikacji nie jest ustalony.
Zobacz także
- Apache Tomcat User enumeration vulnerability with FORM authentication, komunikat programistów
- Apache Tomcat DoS when using Java AJP connector, komunikat programistów