Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/02/2011
Cross Site Scripting en Apache Tomcat
Han sigut identificades dues vulnerabilitats en Apache Tomcat, que podrien ser explotades per a eludir les restriccions o coneixement d'informació sensible.La primera es deu a un error de validació d'entrada en la interfície d'administrador HTML, en mostrar les dades d'aplicacions web. Açò podria permetre atacs de cross site scripting.
La segona vulnerabilitat està causada atés que la configuració de "només lectura" no s'aplica quan s'executen aplicacions web amb un SecurityManager. Açò podria permetre a una aplicació web maliciosa, obtindre accés no autoritzat de lectura i escriptura en un sistema vulnerable.
Apache Tomcat 7.x
Apache Tomcat 6.x
Apache Tomcat 5.x
CVE-2010-3718, CVE-2011-0013
Solució:Actualitzeu a Apache Tomcat 7.0.6 o posterior, 6.0.30 o posterior, o 5.5.32 :
http://archive.apache.org/dist/tomcat
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-5.html
http://www.vupen.com/english/advisories/2011/0292