Oracle Solaris Apache Tomcat sérülékenységek


2012. szeptember 25. 13:12

CH azonosító

CH-7635

Angol cím

Oracle Solaris Apache Tomcat Multiple Vulnerabilities

Felfedezés dátuma

2012.09.24.

Súlyosság

Közepes

Érintett rendszerek

Oracle
Solaris

Érintett verziók

Sun Solaris 10.x

Összefoglaló

Az Oracle Solaris Apache Tomcat több sérülékenységét jelentették, amiket kihasználva a rosszindulatú, helyi felhasználók megkerülhetnek egyes biztonsági szabályokat, bizalmas adatokat szerezhetnek, illetve támadók megkerülhetnek egyes biztonsági szabályokat, bizalmas információkat szerezhetnek, módosíthatnak egyes adatokat és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

  1. A kérések paramétereinek kezelésében lévő kivételek nem megfelelő feldolgozásának hibája miatt ugyanazon paraméterekkel történik meg a következő kérés feldolgozása is.
  2. Az autodeployment funkció egy hibáját kihasználva, ami a telepített fájlok nem megfelelő hozzáférési korlátozása és hiányzó bemeneti adat hitelesítése miatt jelentkezik, a WAR fájlok telepítésekor tetszőleges fájlokat lehet törölni a host munkakönyvtárán belül, vagy tetszőleges állomány lehet létrehozni a web root könyvtáron kívül.

A további sérülékenységről az alábbi hivatkozásokon található bővebb információ:
CERT-Hungary CH-891
CERT-Hungary CH-987
CERT-Hungary CH-5107
CERT-Hungary CH-5378
CERT-Hungary CH-6173
CERT-Hungary CH-6252

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Authentication Issues (Hitelesítés)
Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Other (Egyéb)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: blogs.oracle.com
Gyártói referencia: blogs.oracle.com
SECUNIA 50745
SECUNIA 28834
SECUNIA 38346
CVE-2007-5333 - NVD CVE-2007-5333
CVE-2007-5342 - NVD CVE-2007-5342
CVE-2007-6286 - NVD CVE-2007-6286
CVE-2008-0002 - NVD CVE-2008-0002
CVE-2008-2938 - NVD CVE-2008-2938
CVE-2009-2901 - NVD CVE-2009-2901
CVE-2009-3548 - NVD CVE-2009-3548
CVE-2011-1184 - NVD CVE-2011-1184
CVE-2011-2729 - NVD CVE-2011-2729
CVE-2011-3375 - NVD CVE-2011-3375
CVE-2011-4858 - NVD CVE-2011-4858
CVE-2011-5062 - NVD CVE-2011-5062
CVE-2011-5063 - NVD CVE-2011-5063
CVE-2011-5064 - NVD CVE-2011-5064
CVE-2012-0022 - NVD CVE-2012-0022

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »