04.06.2009 15:16
Die Apache-Tomcat-Entwickler haben Patches für ihre Implementierung für Java Servlets und Java Server Pages vorgelegt, um drei Schwachstellen zu beseitigen. Beim Empfang von Paketen mit manipulierten Headern schließt Tomcat unter Umständen den AJP-Konnektor ohne Fehlermeldung, was sich insbesondere in Load-Balancing-Umgebungen für DoS-Angriffe ausnutzen lassen soll.
Darüber hinaus lässt sich in bestimmten Fällen durch die Übertragung von Passwörtern mit ungültigen Encodings in der URL herausfinden, ob der angegebene Nutzername gültig ist. Angreifer könnten dies zur Vorbereitung weiterer Attacken ausnutzen. Des Weiteren enthält die Kalenderanwendung in den Beispielen eine Cross-Site-Scripting-Lücke.
Betroffen sind laut Bericht Tomcat 6.0.0 bis 6.0.18, Tomcat 5.5.0 bis 5.5.27 sowie Tomcat 4.1.0 bis 4.1.39. In der Version 6.0.20 sind die Fehler behoben. In den kommenden Versionen 5.5.28 und 4.1.40 sollen die Fehler ebenfalls behoben sein, ein Termin steht jedoch noch nicht fest. Alternativ stehen Patches zum Download bereit.
Siehe dazu auch:
(Daniel Bachfeld)
/
(dab)
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-220707
Mehr zum Thema Sicherheitslücke DoS-Schwachstelle XSS
