Apache Tomcat információ felfedés és szolgáltatás megtagadás sérülékenység

CH azonosító

CH-3077

Angol cím

Apache Tomcat Information Disclosure and Denial of Service

Felfedezés dátuma

2010.04.23.

Súlyosság

Alacsony

Érintett rendszerek

Apache Software Foundation
Tomcat

Érintett verziók

Apache Tomcat 5.x
Apache Tomcat 6.x

Összefoglaló

Az Apache Tomcat sérülékenységeit jelentették, amiket kihasználva támadók bizalmas információkat szerezhetnek meg vagy szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.

Leírás

  1. A sérülékenységet az okozza, hogy a Tomcat a helyi host nevéből vagy az IP címből generálja a realm name értékét, ha a web.xml-ben nincs beállítva a „<realm name>” változó. Ennek következtében meg lehet ismerni a Tomcatet futtató rendszer IP címét vagy host nevét a „WWW-Authenticate” HTTP fejlécen keresztül.
  2. A sérülékenység oka, hogy a Tomcat nem megfelelően kezeli azokat a HTTP kéréseket, amelyek speciális „Transfer-Encoding” fejlécet tartalmaznak. Ezt kihasználva pl. érzékeny információkhoz lehet jutni, vagy speciálisan erre a célra készített HTTP kérésekkel megakadályozható a későbbi kérések megfelelő kezelése.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24993 – Microsoft Windows NTFS Heap-Based Buffer Overflow sebezhetősége
CVE-2025-24991 – Microsoft Windows NTFS Out-Of-Bounds Read sebezhetősége
CVE-2025-24985 – Microsoft Windows Fast FAT File System Driver Integer Overflow sebezhetősége
CVE-2025-24984 – Microsoft Windows NTFS Information Disclosure sebezhetősége
CVE-2025-24983 – Microsoft Windows Win32k Use-After-Free sebezhetősége
CVE-2025-26633 – Microsoft Windows Management Console (MMC) Improper Neutralization sebezhetősége
CVE-2025-27363 – FreeType srülékenysége
CVE-2025-24201 – Apple WebKit sérülékenysége
CVE-2024-13161 – Ivanti Endpoint Manager (EPM) Absolute Path Traversal sebezhetősége
Tovább a sérülékenységekhez »