Érintett rendszerek
Apache Software FoundationTomcat
Tomcat JK Web Server Connector
Érintett verziók
Apache Software Foundation Tomcat 4.0.0 - 4.0.6, 4.1.0 - 4.1.36, 5.0.0 - 5.0.30, 5.5.0 - 5.5.27
Apache Software Foundation Tomcat JK Web Server Connector 1.2.0 - 1.2.26
Összefoglaló
Az Apache Tomcat JK Web Server Connector egy olyan sérülékenységét jelentették, melyet kihasználva támadók érzékeny információkhoz juthatnak.
Leírás
Az Apache Tomcat JK Web Server Connector egy olyan sérülékenységét jelentették, melyet kihasználva támadók érzékeny információkhoz juthatnak.
A sérülékenységet az üres POST kérések kezelése okozza, ha a “Content-Length” header
(tartalom-hossz fejléc) nem nulla értékű. Ezt kihasználva más felhasználók kéréseihez kapcsolódó válasz adatok szerezhetők meg egy erre a célra elkészített HTTP kéréssel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia:
Gyártói referencia: tomcat.apache.org
SECUNIA 34621
CVE-2008-5519 - NVD CVE-2008-5519