1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" mindelta="1"
<define-tag description>LTS-sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Tomcat 6, en implementering af specifikationerne af Java Servlet og
JavaServer Pages (JSP) og et rent Java-webservermiljø, var påvirket af flere
sikkerhedsproblemer før version 6.0.45.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5174">CVE-2015-5174</a>
<p>Mappegennemløbssårbarhed i RequestUtil.java i Apache Tomcat 6.x før
6.0.45, 7.x før 7.0.65 samt 8.x før 8.0.27, gjorde det muligt for
fjernautentificerede brugere at omgå tilsigtede
SecurityManager-begrænsninger og se en forældermappe gennem en /..
(slash dot dot) i et stinavn, der anvendes af en webapplikation i et
getResource-, getResourceAsStream- eller getResourcePaths-kald, som
demonstreret med mappen $CATALINA_BASE/webapps.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5345">CVE-2015-5345</a>
<p>Mapper-komponenten i Apache Tomcat 6.x før 6.0.45, 7.x før 7.0.67,
8.x før 8.0.30 samt 9.x før 9.0.0.M2, behandlede viderestillinger før der
blev taget stilling til sikkerhedsbegrænsninger og Filters, hvilket gjorde
det muligt for fjernangribere at afgøre hvorvidt en mappe findes, gennem
en URL, der mangler en afsluttede skråstreg.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5351">CVE-2015-5351</a>
<p>Manager- og Host Manager-applikationer i Apache Tomcat, oprettede
sessioner og sendte CSRF-tokens til vilkårlige nye forespørgsler, hvilket
gjorde det muligt for fjernangribere at omgå en CSRF-beskyttelsesmekanisme,
ved at anvende et token.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0706">CVE-2016-0706</a>
<p>Apache Tomcat 6.x før 6.0.45, 7.x før 7.0.68, 8.x før 8.0.31 samt 9.x før
9.0.0.M2, indsatte ikke org.apache.catalina.manager.StatusManagerServlet i
listen org/apache /catalina/core/RestrictedServlets.properties, hvilket
gjorde det muligt for fjernautentificerede brugere, at omgå tilsigtede
SecurityManager-begrænsninger samt læse vilkårlige HTTP-forespørgsler, og
dermed opdage session-ID-værdier, gennem en fabrikeret
webapplikation.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0714">CVE-2016-0714</a>
<p>Implemteringen af sessionpersistens i Apache Tomcat 6.x før 6.0.45, 7.x
før 7.0.68, 8.x før 8.0.31 samt 9.x før 9.0.0.M2, fejlbehandlede
sessionsattributter, hvilket gjorde det muligt for fjernautentificerede
brugere at omgå tilsigtede SecurityManager-begrænsninger samt udføre
vilkårlig kode i en priviligeret kontekst gennem en webapplikation, som
indsætter et fabrikeret objekt i en session.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0763">CVE-2016-0763</a>
<p>Metoden setGlobalContext i org/apache/naming/factory
/ResourceLinkFactory.java i Apache Tomcat, tog ikke i betragtning hvorvidt
kaldere af ResourceLinkFactory.setGlobalContext var autoriseret, hvilket
gjorde det muligt for fjernautentificerede brugere at omgå tilsigtede
SecurityManager-begrænsninger samt læse eller skrive til vilkårlige
applikationsdata, eller forårsage et lammelsesangreb
(applikationsforstyrrelse), gennem en webapplikation, som opsætter en
fabrikeret, global kontekst.</p></li>
</ul>
<p>I Debian 6 <q>Squeeze</q>, er disse problemer rettet i version
6.0.45-1~deb6u1.</p>
<p>Vi anbefaler at du opgraderer dine tomcat6-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-435.data"
|
