Apache Tomcat sérülékenységek

CH azonosító

CH-8047

Angol cím

Apache Tomcat Multiple Vulnerabilities

Felfedezés dátuma

2012.12.04.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
Tomcat

Érintett verziók

Apache Tomcat 6.x
Apache Tomcat 7.x

Összefoglaló

Az Apache Tomcat több sérülékenysége vált ismertté, amelyeket kihasználva a támadók megkerülhetnek bizonyos biztonsági korlátozásokat és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.

Leírás

  1. A NIO connector-ban, fájlok sendfile-lal történő, HTTPS-en keresztüli továbbításakor jelentkező hiba kihasználható egy végtelen ciklus előidézésére, ami túlzott CPU terhelést okoz.
    Ez a sérülékenység a 7.0.27 és 6.0.35 előtti verziókat érinti.
  2. A FormAuthenticator komponensben, hitelesítési kérések kezelése közben jelentkező hiba kihasználható a hitelesítési mechanizmus megkerülésére egy speciálisan formázott kéréssel.
    A sérülékenység a 7.0.29 és 6.0.35 előtti verziókat érinti.
  3. A “doFilter()” metódusban, védett erőforrások elérésekor jelentkező hiba kihasználható a CSRF megakadályozó szűrő megkerülésére és az erőforrás session azonosító nélkül történő elérésére.
    A sérülékenység a 7.0.31 és 6.0.35 előtti verziókat érinti.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »