Apache Tomcat sérülékenységek

CH azonosító

CH-8047

Angol cím

Apache Tomcat Multiple Vulnerabilities

Felfedezés dátuma

2012.12.04.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
Tomcat

Érintett verziók

Apache Tomcat 6.x
Apache Tomcat 7.x

Összefoglaló

Az Apache Tomcat több sérülékenysége vált ismertté, amelyeket kihasználva a támadók megkerülhetnek bizonyos biztonsági korlátozásokat és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.

Leírás

  1. A NIO connector-ban, fájlok sendfile-lal történő, HTTPS-en keresztüli továbbításakor jelentkező hiba kihasználható egy végtelen ciklus előidézésére, ami túlzott CPU terhelést okoz.
    Ez a sérülékenység a 7.0.27 és 6.0.35 előtti verziókat érinti.
  2. A FormAuthenticator komponensben, hitelesítési kérések kezelése közben jelentkező hiba kihasználható a hitelesítési mechanizmus megkerülésére egy speciálisan formázott kéréssel.
    A sérülékenység a 7.0.29 és 6.0.35 előtti verziókat érinti.
  3. A “doFilter()” metódusban, védett erőforrások elérésekor jelentkező hiba kihasználható a CSRF megakadályozó szűrő megkerülésére és az erőforrás session azonosító nélkül történő elérésére.
    A sérülékenység a 7.0.31 és 6.0.35 előtti verziókat érinti.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »