CH azonosító
CH-7883Angol cím
Apache Tomcat VulnerabilitiesFelfedezés dátuma
2012.11.05.Súlyosság
KözepesÉrintett rendszerek
Apache Software FoundationTomcat
Érintett verziók
Apache Tomcat 5.x
Apache Tomcat 6.x
Apache Tomcat 7.x
Összefoglaló
Az Apache Tomcat sérülékenységeit jelentették, amelyeket kihasználva a támadók megkerülhetnek bizonyos biztonsági szabályokat és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
Leírás
- Egy hiba a parseHeaders()” függvényben (InternalNioInputBuffer.java), amikor a kérések fejlécét elemzi nincs megfelelően ellenőrizve az engedélyezett méret, ami kihasználható egy OutOfMemoryError hiba kiváltásához, speciálisan erre a célra készített fejlécekkel.
A sérülékenységet a 6.0.0-6.0.35 és 7.0.0-7.0.27 verziókban jelentették. - A DIGEST hitelesítési mechanizmusban lévő hiba miatt nincs megfelelően ellenőrizve a szerver nonce-ok.
A sérülékenységet a 5.5.0-5.5.35, 6.0.0-6.0.35, és 7.0.0-7.0.29 verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tomcat.apache.org
Gyártói referencia: tomcat.apache.org
Gyártói referencia: tomcat.apache.org
CVE-2012-2733 - NVD CVE-2012-2733
CVE-2012-3439 - NVD CVE-2012-3439
SECUNIA 51138
