GLSA 200705-03: Tomcat: Information disclosure

Опасность:низкая
Заголовок:Tomcat: Information disclosure
Дата:01.05.2007
Ошибки: #173122
ID:200705-03

Сводка

A vulnerability has been discovered in Tomcat that allows for the disclosure of sensitive information.

Назначение

Tomcat is the Apache Jakarta Project's official implementation of Java Servlets and Java Server Pages.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
www-servers/tomcat < 5.5.22 >= 5.5.22 All supported architectures

Описание

Tomcat allows special characters like slash, backslash or URL-encoded backslash as a separator, while Apache does not.

Воздействие

A remote attacker could send a specially crafted URL to the vulnerable Tomcat server, possibly resulting in a directory traversal and read access to arbitrary files with the privileges of the user running Tomcat. Note that this vulnerability can only be exploited when using apache proxy modules like mod_proxy, mod_rewrite or mod_jk.

Обход

There is no known workaround at this time.

Решение

All Tomcat users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=www-servers/tomcat-5.5.22"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200705-03.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!