Vulnerability Bulletins

int(5699)

Vulnerability Bulletins

Múltiples vulnerabilidades en "tomcat6"
Vulnerability classification
Property	Value
Confidence level	Oficial
Impact	Obtener acceso
Dificulty	Experto
Required attacker level	Acceso remoto con cuenta
System information
Property	Value
Affected manufacturer	GNU/Linux
Affected software	tomcat6
Description
Se han descubierto múltiples vulnerabilidades en tomcat6. Las vulnerabilidades son descritas a continuación: CVE-2010-3718: Se ha descubierto una vulnerabilidad en Apache Tomcat 7.0.0 hasta 7.0.3, 6.0.x, y 5.5.x. La vulnerabilidad reside cuando se ejecuta dentro de un SecurityManager, al no estar el atributo ServletContext en modo solo lectura. Un atacante podría realizar lecturas o escrituras de archivos en aplicaciones web fuera del directorio de trabajo mediante un ataque de directorio transversal. CVE-2011-0013:La vulnerabilidad reside en el interfaz manager de HTML. Un atacante remoto podría realizar un ataque de cross-site scripting mediante métodos no especificados. CVE-2011-0534: Se ha descubierto una vulnerabilidad en Apache Tomcat 7.0.0 hasta 7.0.6 y 6.0.0 a través de 6.0.30. La vulnerabilidad reside al no forzar el límite maxHttpHeaderSize limit para las peticiones que incluyen el conector NIO HTTP. Un atacante remoto podría causar un ataque de denegación de servicio mediante la manipulación especial de peticiones.
Solution
Actualización de software Debian (DSA-2160-1) Actualizar a la versión 6.0.28-9+squeeze1 http://www.debian.org/security/ Red Hat (RHSA-2011:0791-1) Red Hat Enterprise Linux Desktop Optional (v. 6) Red Hat Enterprise Linux HPC Node Optional (v. 6) Red Hat Enterprise Linux Server (v. 6) Red Hat Enterprise Linux Server Optional (v. 6) Red Hat Enterprise Linux Workstation (v. 6) Red Hat Enterprise Linux Workstation Optional (v. 6) https://rhn.redhat.com/ Red Hat (RHSA-2011:1845-1) RHEL Desktop Workstation (v. 5 client) Red Hat Enterprise Linux (v. 5 server) Red Hat Enterprise Linux Desktop (v. 5 client) https://rhn.redhat.com/
Standar resources
Property	Value
CVE	CVE-2010-3718 CVE-2011-0013 CVE-2011-0534
BID
Other resources
Debian Security Advisory (DSA-2160-1) http://lists.debian.org/debian-security-announce/2011/msg00025.html Red Hat Security Advisory (RHSA-2011:0791-01) https://rhn.redhat.com/errata/RHSA-2011-0791.html Red Hat Security Advisory (RHSA-2011:1845-01) https://rhn.redhat.com/errata/RHSA-2011-1845.html

Version history
Version	Comments	Date
1.0	Aviso emitido	2011-02-15
1.1	Aviso emitido por Red Hat (RHSA-2011:0791-01)	2011-05-24
1.2	Aviso actualizado por Red Hat (RHSA-2011:1845-1)	2011-12-28

Vulnerability Bulletins

Múltiples vulnerabilidades en "tomcat6"

Vulnerability classification

System information

Description

Solution

Standar resources

Other resources

Version history