GLSA 200408-15: Tomcat: Insecure installation
| Опасность: | средняя |
| Заголовок: | Tomcat: Insecure installation |
| Дата: | 15.08.2004 |
| Ошибки: | |
| ID: | 200408-15 |
Сводка
Improper file ownership may allow a member of the tomcat group to execute scripts as root.Назначение
Tomcat is the Apache Jakarta Project's official implementation of Java Servlets and Java Server Pages.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| www-servers/tomcat | < 5.0.27-r3 | >= 5.0.27-r3 | All supported architectures |
Описание
The Gentoo ebuild for Tomcat sets the ownership of the Tomcat init scripts as tomcat:tomcat, but those scripts are executed with root privileges when the system is started. This may allow a member of the tomcat group to run arbitrary code with root privileges when the Tomcat init scripts are run.
Воздействие
This could lead to a local privilege escalation or root compromise by authenticated users.
Обход
Users may change the ownership of /etc/init.d/tomcat* and /etc/conf.d/tomcat* to be root:root:
# chown -R root:root /etc/init.d/tomcat*
# chown -R root:root /etc/conf.d/tomcat*
Решение
All Tomcat users can upgrade to the latest stable version, or simply apply the workaround:
# emerge sync
# emerge -pv ">=www-servers/tomcat-5.0.27-r3"
# emerge ">=www-servers/tomcat-5.0.27-r3"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.