1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Flere sikkerhedsproblemer blev fundet i Tomcat-servlet'en og JSP-motoren:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2067">CVE-2013-2067</a>
<p>FORM-autentifikation forbinder den seneste forespørgsel, som kræver
autentifikation, med den aktuelle session. Ved at sende gentagne
forespørgsler til en autentificeret ressource, men offeret er ved at udfylde
loginformularen, kunne en angriber indsprøjte en forespørgsel, som blev
udført med offerets brugerrettigheder.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2071">CVE-2013-2071</a>
<p>En exception på kørselstidspunktet i AsyncListener.onComplete(),
forhindrede forespørgslen i at blive genbrugt. Det kunne udstille elementer
fra en tidligere forespørgsel til den aktuelle.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4286">CVE-2013-4286</a>
<p>Afvisning af forespørgsler med flere content-length-headere eller med en
content-length-header, når chunked encoding anvendes.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4322">CVE-2013-4322</a>
<p>Ved behandling af en forespørgsel indsendt ved hjælp af chunked
transfer-encoding, ignorerede Tomcat den, men begrænsede ikke nogen
indeholdte udvidelser. Dermed var det muligt for en klient at iværksætte
et begrænset lammelsesangreb (denial of service), ved at streame en
ubegrænset datamængde til serveren.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0050">CVE-2014-0050</a>
<p>Multipart-forespørgsler med en misdannet Content-Type-header, kunne
udløse en uendelig løkke, forårsagende et lammelsesangreb.</p></li>
</ul>
<p>I den stabile distribution (wheezy), er disse problemer rettet i
version 7.0.28-4+deb7u1.</p>
<p>I distributionen testing (jessie), er disse problemer rettet i
version 7.0.52-1.</p>
<p>I den ustabile distribution (sid), er disse problemer rettet i
version 7.0.52-1.</p>
<p>Vi anbefaler at du opgraderer dine tomcat7-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2897.data"
|