GLSA-201206-24：Apache Tomcat：複数の脆弱性

medium Nessus プラグイン ID 59677

Language:

概要

リモートの Gentoo ホストでは、セキュリティに関連するパッチが少なくとも 1 つ不足しています。

説明

リモートホストが、GLSA-201206-24 で説明されている脆弱性の影響を受けます（Apache Tomcat：複数の脆弱性）

Apache Tomcat に複数の脆弱性が発見されました。詳細については、以下で参照されている CVE 識別子をレビューしてください。
影響：

この脆弱性により、攻撃者が、サービス拒否を引き起こしたり、セッションをハイジャックしたり、認証をバイパスしたり、Web スクリプトを注入したり、有効なユーザー名を列挙したり、任意のファイルを読み取り、変更および上書きしたり、意図されたアクセス制限をバイパスしたり、作業ディレクトリのファイルを削除したり、サーバーのホスト名や IP を突き止めたり、ファイルや HTTP ヘッダーの読み取り権限をバイパスしたり、意図された作業ディレクトリ外のファイルを読み書きしたり、ログファイルを読み取ることで機密情報を取得することが可能です。
回避策：

現時点で、既知の回避策はありません。

ソリューション

Apache Tomcat 6.0.x の全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=www-servers/tomcat-6.0.35' Apache Tomcat 7.0.x の全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=www-servers/tomcat-7.0.23'