 |
05.06.2009 23:00 |
| |
Множественные уязвимости в wxWidgets |
 |
05 июня, 2009
Программа: Apache Tomcat версии 4.1.0 по 4.1.39 и 5.5.0 по 5.5.27
Опасность: Средняя
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, получить доступ к важным данным и вызвать отказ в обслуживании.
1.Уязвимость существует из-за ошибки при обработке некорректных HTTP заголовков, полученных через Java AJP соединитель. Удаленный пользователь может закрыть AJP подключения и временно заблокировать соединитель, который является членом балансировщика нагрузки mod_jk.
2.Уязвимость существует из-за ошибки в некоторых классах аутентификации. Удаленный пользователь может с помощью брут форс атаки, с использованием специально сформированных URL кодированных паролей, получить список существующих учетных записей. Для успешной эксплуатации уязвимости требуется, чтобы использовалась аутентификация, основанная на формах (j_security_check) с MemoryRealm, DataSourceRealm или JDBCRealm.
3.Уязвимость существует из-за того, что Web приложение может заменить XML обработчик, используемый Tomcat для обработки web.xml и tld файлов. В некоторых случаях это может позволить вредоносному Web приложению просмотреть или изменить web.xml и tld файлы, принадлежащие другим Web приложениям, расположенным на экземпляре Tomcat.
URL производителя: jakarta.apache.org/tomcat/
Решение: Установите исправление из SVN репозитория производителя.
URL адреса: http://tomcat.apache.org/security-4.htmlhttp://tomcat.apache.org/security-5.htmlhttp://marc.info/?l=tomcat-user&m=124404378413716&w=2http://marc.info/?l=tomcat-user&m=124404378913734&w=2http://marc.info/?l=tomcat-user&m=124412001618125&w=2
CVE: CVE-2009-0033CVE-2009-0580CVE-2009-0783
|
|
|
Навигация по порталу: 
