CH azonosító
CH-13054Angol cím
Apache Tomcat vulnerabilityFelfedezés dátuma
2016.02.22.Súlyosság
MagasÉrintett rendszerek
Apache Software FoundationTomcat
Érintett verziók
Apache Tomcat 8.x
Apache Tomcat 6.x
Apache Tomcat 7.x
Apache Tomcat 9.x
Összefoglaló
Az Apache Tomcat fejlesztői több biztonsági rést foltoztak be.
Leírás
Ezek távolról is kihasználhatók, és biztonsági megkötések megkerüléséhez, illetve adatlopáshoz vezethetnek. Esetenként pedig az érintett rendszerekhez való jogosulatlan hozzáférést eredményezhetik.
A biztonsági hibák az alábbi funkciókat, összetevőket érintik:
- Session kezelés (Session ID generálás és újrafelhasználás)
- Manager
- Host Manager
- StatusManagerServlet
- SecurityManager
- ResourceLinkFactory.setGlobalContext() metódus.
Megoldás
Az Apache Tomcat alábbi verzióinak használata:
6.0.45,
7.0.68,
8.0.32,
9.0.0.M3
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tomcat.apache.org
Gyártói referencia: tomcat.apache.org
Gyártói referencia: tomcat.apache.org
Egyéb referencia: isbk.hu
CVE-2015-5346 - NVD CVE-2015-5346
CVE-2015-5351 - NVD CVE-2015-5351
CVE-2016-0706 - NVD CVE-2016-0706
CVE-2016-0714 - NVD CVE-2016-0714
CVE-2016-0763 - NVD CVE-2016-0763