2014-0280: Apache Tomcat: Mehrere Schwachstellen ermöglichen die Übernahme von Sitzungen

Historie:

Version 1 (2014-03-07 16:19)

Neues Advisory

Version 2 (2014-04-24 15:09)

RedHat hat Sicherheitspatches für die Distributionen Enterprise Linux Desktop (v. 6), HPC Node (v. 6), Server (v. 6), Server AUS (v. 6.5), Server EUS (v. 6.5.z) und Workstation (v. 6) veröffentlicht. Die Schwachstelle CVE-2014-0033 ist nicht vom Update betroffen.

Version 3 (2014-05-22 19:11)

Red Hat hat aktualisierte Tomcat 6 und Tomcat 7 Pakete für Red Hat JBoss Web Server 2.0.1 auf Red Hat Enterprise Linux 5 und 6 veröffentlicht, welche die Schwachstellen beheben, wobei die Tomcat 7 Komponenten nur die Schwachstellen CVE-2013-4286, CVE-2013-4322, CVE-2014-0050 adressieren.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um Sitzungen eines Benutzers zu übernehmen, einen Denial-of-Service-Zustand herbeizuführen oder andere Angriffe durchzuführen.

Schwachstellen:

CVE-2013-4286

Apache Tomcat: Schwachstelle ermöglicht 'Request-Smuggling'

CVE-2013-4322

Apache Tomcat: Schwachstelle ermöglicht DoS

CVE-2014-0033

Apache Tomcat: Schwachstelle ermöglicht Übernahme von Sitzungen

CVE-2014-0050

Schwachstelle in Apache Commons FileUpload ermöglicht DoS

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.