Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/12/2011
Múltiples vulnerabilitats en tomcat6 en Red Hat
S’han descobert múltiples vulnerabilitats en el servidor d’aplicacions Tomcat en Red Hat que permetria a un atacant remot sense privilegis provocar una denegació de servici.S’han descobert múltiples vulnerabilitats en "tomcat6" en Red Hat. Les vulnerabilitats són descrites a continuació:
-
CVE-2011-1184: S’ha descobert una vulnerabilitat en "tomcat6" en Red Hat. La vulnerabilitat residix en un error quan s’usa el mètode d’autenticació "HTTP DIGEST".
Un atacant remot podria obtindre accés i causar una denegació de servici per mitjà de mètodes no especificats.
-
CVE-2011-2204: S’ha descobert una vulnerabilitat en "tomcat6" en Red Hat. La vulnerabilitat residix en un error en "MemoryUserDatabase".
Un atacant remot podria obtindre accés i causar una denegació de servici per mitjà de mètodes no especificats.
-
CVE-2011-2526: S’ha descobert una vulnerabilitat en "tomcat6" en Red Hat. La vulnerabilitat residix en un error quan sendfile està habilitat per al connector "HTTP APR" o "HTTP NIO"
Un atacant remot podria obtindre accés i causar una denegació de servici per mitjà d’una pàgina web especialment manipulada.
-
CVE-2011-2526: S’ha descobert una vulnerabilitat en "tomcat6" en Red Hat. La vulnerabilitat residix en un error en el protocol "AJP"
Un atacant remot podria obtindre accés per mitjà d’una petició "AJP" especialment manipulada.
Sistemes Afectats:Sistemes Red Hat amb el programari següent:
- Tomcat 7.0.0 a 7.0.20
- Tomcat 6.0.0 a 6.0.33
- Tomcat 5.5.0 a 5.5.33
- Versions anteriors poden estar també afectades
Referències:
CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-2526
Solució:Actualizació de programari
Red Hat (RHSA-2011:1780-1)
Red Hat Enterprise Linux Desktop Optional (v. 6)
Red Hat Enterprise Linux HPC Node Optional (v. 6)
Red Hat Enterprise Linux Server (v. 6)
Red Hat Enterprise Linux Server Optional (v. 6)
Red Hat Enterprise Linux Workstation (v. 6)
Red Hat Enterprise Linux Workstation Optional (v. 6)
https://rhn.redhat.com/errata/RHSA-2011-1780.html