Està en: Inici » Alertes » Cross Site Scripting en Apache Tomcat

Cross Site Scripting en Apache Tomcat

Versió per a imprimir
09/02/2011
Han sigut identificades dues vulnerabilitats en Apache Tomcat, que podrien ser explotades per a eludir les restriccions o coneixement d'informació sensible.

Risc: Mig Mig
Sistemes afectats:

Apache Tomcat 7.x
Apache Tomcat 6.x
Apache Tomcat 5.x

Descripció:

La primera es deu a un error de validació d'entrada en la interfície d'administrador HTML, en mostrar les dades d'aplicacions web. Açò podria permetre atacs de cross site scripting.

La segona vulnerabilitat està causada atés que la configuració de "només lectura" no s'aplica quan s'executen aplicacions web amb un SecurityManager. Açò podria permetre a una aplicació web maliciosa, obtindre accés no autoritzat de lectura i escriptura en un sistema vulnerable.

Referències (CVE):
CVE-2010-3718, CVE-2011-0013
Solució:

Actualitzeu a Apache Tomcat 7.0.6 o posterior, 6.0.30 o posterior, o 5.5.32 :
http://archive.apache.org/dist/tomcat

Notes:

http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-5.html
http://www.vupen.com/english/advisories/2011/0292

Font: VUPEN
Tags:

Csirt-cv    Lista Trusted Introducer Agencia Valenciana de Tecnología y Certificación Electrónica CSIRT.es Plan AvanzaAntiphishing Working GroupFondo Europeo de Desarrollo Regional