Se corrigen vulnerabilidades en Apache Tomcat

Publicado: enero 28, 2010 de komz en 14.Updates/ Releases
Etiquetas:, , ,

Se han corregido tres nuevas vulnerabilidades en Apache Tomcat (versiones 6.0.0 a 6.0.20 y 5.5.0 a 5.5.28), que podrían permitir a un atacante evitar restricciones de seguridad, conseguir información sensible o manipular datos.

El primero de los problemas está provocado por un error de validación de entrada cuando despliega archivos WAR, que podría permitir a un atacante crear contenido arbitrario fuera de la carpeta raiz de la web mediante una escalada de directorios.

Una segunda vulnerabilidad se debe a un error cuando se despliegan archivos tras un despliegue fallido, lo que podría provocar que se desplieguen archivos arbitrarios sin restricciones de seguridad, haciéndolos accesibles sin autenticación.

Un último problema está provocado por un error de validación de entrada al desplegar y replegar archivos WAR con nombres específicamente creados, lo que podría permitir a un atacante borrar los contenidos del directorio de trabajo del host.

Se recomienda actualizar a Apache Tomcat versión 6.0.24: http://tomcat.apache.org/download-60.cgi

o aplicar las actualizaciones para Tomcat 5.x disponibles desde: http://svn.apache.org/viewvc?rev=902650&view=rev

REFERENCIAS:

Apache Tomcat 6.x vulnerabilities, http://tomcat.apache.org/security-6.html

Apache Tomcat 5.x vulnerabilities, http://tomcat.apache.org/security-5.html

fuente: hispasec.com

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s