Scientific Linux セキュリティ更新：SL6.x の tomcat6

high Nessus プラグイン ID 61184

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

Apache Tomcat は、Java サーブレットおよび JavaServer Pages（JSP）技術のサーブレットコンテナです。

CVE-2011-3190 および CVE-2011-2526 の説明で言及されている APR （Apache Portable Runtime）は、apr パッケージで提供されている APR を参照しません。APR は Tomcat を使って APR の利用をサポートしている Tomcat Native ライブラリで提供される APR の実装を参照します。このライブラリは、Scientific Linux 6 には同梱されていません。この更新は、別の製品から Tomcat Native ライブラリを取り出すことにより、Tomcat を使って APR を利用することを選んだユーザー向けに修正を提供するものです。

Tomcat が HTTP DIGEST 認証を処理する方法で、複数の欠陥が見つかりました。この欠陥は Tomcat HTTP DIGEST 認証実装を弱体化し、リモートの攻撃者によるセッションリプレイ攻撃を可能にするなど、いくつかの HTTP BASIC 認証の弱点に陥りやすくします。（CVE-2011-1184）

Coyote（org.apache.coyote.ajp.AjpProcessor）および APR（org.apache.coyote.ajp.AjpAprProcessor）Tomcat AJP（Apache JServ Protocol）コネクタが特定の POST リクエストを処理する方法で、欠陥が見つかりました。攻撃者が特別に細工されたリクエストを送信して、コネクタにメッセージ本文を新しいリクエストとして処理させる可能性があります。この結果、任意の AJP メッセージを注入することができるようになり、攻撃者が Web アプリケーションの認証チェックをバイパスして、他の方法ではアクセスできなかった情報にアクセスする可能性があります。APR ライブラリが存在しない場合、デフォルトで JK （org.apache.jk.server.JkCoyoteHandler）コネクタが使用されます。JK コネクタはこの欠陥の影響を受けません。（CVE-2011-3190）

Tomcat MemoryUserDatabase で欠陥が見つりました。JMX クライアントを用いて新規ユーザーを作成する際にランタイム例外が発生した場合、ユーザーのパスワードが Tomcat ログファイルに記録されます。注：デフォルトでは、管理者のみがこのようなログファイルにアクセスできます。（CVE-2011-2204）

HTTP APR コネクタまたは NIO（Non-Blocking I/O）コネクタを利用している場合に、 Tomcat が sendfile リクエスト属性を処理する方法で欠陥が見つかりました。Tomcat インスタンス上で動作中の悪意ある Web アプリケーションがこの欠陥を利用することにより、セキュリティマネージャーの制限をバイパスして、他の方法ではアクセスできなかったファイルにアクセスしたり、Java Virtual Machine （JVM）を終了させたりする可能性があります。Scientific Linux 6 ではデフォルトでこの問題に脆弱性のない HTTP ブロック IO（BIO）コネクタが使用されています。（CVE-2011-2526）

この更新では以下のバグも修正されます。

- 以前は、特定の状況で、「LANG=fr_FR」または「LANG=fr_FR.UTF-8」が 64 ビット PowerPC システムで環境変数として設定されているとき、またはそれらが「/etc/sysconfig/tomcat6」で設定されているときに、Tomcat が正常に開始されませんでした。この更新により、LANG が「fr_FR」または「fr_FR.UTF-8」に設定されている場合、Tomcat は意図していた通りの動作を行うようになりました。

Tomcat のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正する必要があります。この更新を有効にするには、Tomcat を再起動する必要があります。