Обход ограничений безопасности в Apache Tomcat
| Дата публикации: | 12.12.2011 |
| Всего просмотров: | 3082 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVSSv2 рейтинг: | 6 (AV:N/AC:M/Au:S/C:P/I:P/A:P/E:U/RL:O/RC:C) |
| CVE ID: | CVE-2011-3190 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Apache Tomcat 5.x
Apache Tomcat 6.x Apache Tomcat 7.x |
| Уязвимые версии: Apache Tomcat версий 5.5.0 - 5.5.33 Apache Tomcat версий 6.0.0 - 6.0.33 Apache Tomcat версий 7.0.0 - 7.0.20 Описание: Уязвимость существует из-за некорректной обработки определенных запросов. Удаленный пользователь может выполнить инъекцию произвольных AJP сообщений и, например, раскрыть потенциально важную информацию или обойти механизм аутентификации. Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы коннектор org.apache.jk.server.JkCoyoteHandler AJP был отключен, POST запросы принимались, а содержимое запроса не обрабатывалось. URL производителя: http://jakarta.apache.org/tomcat/ Решение: Для устранения уязвимости установите продукт версии 5.5.34, 6.0.35, или 7.0.21 с сайта производителя. |
|
| Ссылки: |
http://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.35 http://tomcat.apache.org/#Fixed_in_Apache_Tomcat_7.0.21_%28not_yet_released%29 http://mail-archives.apache.org/mod_mbox/tomcat-announce/201108.mbox/%3C4E5BEDE0.8010604@apache.org%3E |