danish/security/2014/dsa-2897.wml


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55

#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Flere sikkerhedsproblemer blev fundet i Tomcat-servlet'en og JSP-motoren:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2067">CVE-2013-2067</a>

    <p>FORM-autentifikation forbinder den seneste forespørgsel, som kræver 
    autentifikation, med den aktuelle session.  Ved at sende gentagne 
    forespørgsler til en autentificeret ressource, men offeret er ved at udfylde 
    loginformularen, kunne en angriber indsprøjte en forespørgsel, som blev 
    udført med offerets brugerrettigheder.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2071">CVE-2013-2071</a>

    <p>En exception på kørselstidspunktet i AsyncListener.onComplete(), 
    forhindrede forespørgslen i at blive genbrugt.  Det kunne udstille elementer 
    fra en tidligere forespørgsel til den aktuelle.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4286">CVE-2013-4286</a>

    <p>Afvisning af forespørgsler med flere content-length-headere eller med en 
    content-length-header, når chunked encoding anvendes.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4322">CVE-2013-4322</a>

    <p>Ved behandling af en forespørgsel indsendt ved hjælp af chunked 
    transfer-encoding, ignorerede Tomcat den, men begrænsede ikke nogen 
    indeholdte udvidelser.  Dermed var det muligt for en klient at iværksætte 
    et begrænset lammelsesangreb (denial of service), ved at streame en 
    ubegrænset datamængde til serveren.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0050">CVE-2014-0050</a>

    <p>Multipart-forespørgsler med en misdannet Content-Type-header, kunne 
    udløse en uendelig løkke, forårsagende et lammelsesangreb.</p></li>

</ul>

<p>I den stabile distribution (wheezy), er disse problemer rettet i
version 7.0.28-4+deb7u1.</p>

<p>I distributionen testing (jessie), er disse problemer rettet i
version 7.0.52-1.</p>

<p>I den ustabile distribution (sid), er disse problemer rettet i
version 7.0.52-1.</p>

<p>Vi anbefaler at du opgraderer dine tomcat7-pakker.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2897.data"