Обход ограничений безопасности в Apache Tomcat

Дата публикации:
12.12.2011
Всего просмотров:
2464
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:S/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6/Temporal:4.4
CVE ID:
CVE-2011-3190
Вектор эксплуатации:
Удаленная
Воздействие:
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apache Tomcat 5.x
Apache Tomcat 6.x
Apache Tomcat 7.x
Уязвимые версии:
Apache Tomcat версий 5.5.0 - 5.5.33
Apache Tomcat версий 6.0.0 - 6.0.33
Apache Tomcat версий 7.0.0 - 7.0.20

Описание:
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности на целевой системе.

Уязвимость существует из-за некорректной обработки определенных запросов. Удаленный пользователь может выполнить инъекцию произвольных AJP сообщений и, например, раскрыть потенциально важную информацию или обойти механизм аутентификации.

Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы коннектор org.apache.jk.server.JkCoyoteHandler AJP был отключен, POST запросы принимались, а содержимое запроса не обрабатывалось.

URL производителя: http://jakarta.apache.org/tomcat/

Решение: Для устранения уязвимости установите продукт версии 5.5.34, 6.0.35, или 7.0.21 с сайта производителя.

Ссылки: http://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.35
http://tomcat.apache.org/#Fixed_in_Apache_Tomcat_7.0.21_%28not_yet_released%29
http://mail-archives.apache.org/mod_mbox/tomcat-announce/201108.mbox/%3C4E5BEDE0.8010604@apache.org%3E

или введите имя

CAPTCHA