Oracle Solaris Apache Tomcat sérülékenységek

CH azonosító

CH-7635

Angol cím

Oracle Solaris Apache Tomcat Multiple Vulnerabilities

Felfedezés dátuma

2012.09.24.

Súlyosság

Közepes

Érintett rendszerek

Oracle
Solaris

Érintett verziók

Sun Solaris 10.x

Összefoglaló

Az Oracle Solaris Apache Tomcat több sérülékenységét jelentették, amiket kihasználva a rosszindulatú, helyi felhasználók megkerülhetnek egyes biztonsági szabályokat, bizalmas adatokat szerezhetnek, illetve támadók megkerülhetnek egyes biztonsági szabályokat, bizalmas információkat szerezhetnek, módosíthatnak egyes adatokat és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

  1. A kérések paramétereinek kezelésében lévő kivételek nem megfelelő feldolgozásának hibája miatt ugyanazon paraméterekkel történik meg a következő kérés feldolgozása is.
  2. Az autodeployment funkció egy hibáját kihasználva, ami a telepített fájlok nem megfelelő hozzáférési korlátozása és hiányzó bemeneti adat hitelesítése miatt jelentkezik, a WAR fájlok telepítésekor tetszőleges fájlokat lehet törölni a host munkakönyvtárán belül, vagy tetszőleges állomány lehet létrehozni a web root könyvtáron kívül.

A további sérülékenységről az alábbi hivatkozásokon található bővebb információ:
CERT-Hungary CH-891
CERT-Hungary CH-987
CERT-Hungary CH-5107
CERT-Hungary CH-5378
CERT-Hungary CH-6173
CERT-Hungary CH-6252

Megoldás

Telepítse a javítócsomagokat