[Debian] Schwachstelle in Tomcat bis Version 5.5.26 und 6.0.16 - DSA-1593-1

Aufmacher News

DFN-Cert
10.06.2008

-----BEGIN PGP SIGNED MESSAGE-----

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2008-1947 - Cross-Site Scripting Schwachstellen in Apache Tomcat

  Die Host Manager Anwendung in Apache Tomcat filtert die uebergebenen
  Parameter 'name' in den Skript 'host-manager/html/add' ungenuegend auf
  enthaltenen Skript- oder HTML-Code und kann so fuer Cross-Site
  Scripting Angriffe missbraucht werden. Entfernte Angreifer, die sich
  in der Anwendung authentifiziert haben, koennen dadurch Skriptcode im
  Browser anderer Benutzer ausfuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket tomcat5.5 in der stable Distribution (etch) vor Version
  5.5.20-2etch3
  Paket tomcat5.5 in der unstable Distribution (sid) vor Version 5.5.26-3

  Stable Distribution (etch)
  Unstable Distribution (sid)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  http://www.debian.org/security/2008/dsa-1593


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
  Klaus Moeller, DFN-CERT


- -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- - ------------------------------------------------------------------------
Debian Security Advisory DSA-1593-1                  security@debian.org
http://www.debian.org/security/                       Moritz Muehlenhoff
June 09, 2008                         http://www.debian.org/security/faq
- - ------------------------------------------------------------------------

Package        : tomcat5.5
Vulnerability  : missing input sanitising
Problem type   : remote
Debian-specific: no
CVE Id(s)      : CVE-2008-1947

Tt was discovered that the Host Manager web application performed
insufficient input sanitising, which could lead to cross-site scripting.

For the stable distribution (etch), this problem has been fixed in
version 5.5.20-2etch3.

For the unstable distribution (sid), this problem has been fixed in
version 5.5.26-3.

We recommend that you upgrade your tomcat5.5 packages.

Upgrade instructions
- - --------------------

wget url
        will fetch the file for you
dpkg -i file.deb
        will install the referenced file.

If you are using the apt-get package manager, use the line for
sources.list as given below:

apt-get update
        will update the internal database
apt-get upgrade
        will install corrected packages

You may use an automated update by adding the resources from the
footer to the proper configuration.


Debian GNU/Linux 4.0 alias etch
- - -------------------------------

Stable updates are available for alpha, amd64, arm, hppa, i386, ia64, mips, mipsel, powerpc, s390 and sparc.

Source archives:

  http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20-2etch3.dsc
    Size/MD5 checksum:     1277 119f28678cab927a6be1cd1e6622cb70
  http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20.orig.tar.gz
    Size/MD5 checksum:  4796377 5775bae8fac16a0e3a2c913c4768bb37
  http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20-2etch3.diff.gz
    Size/MD5 checksum:    29340 1018b80cfeeea2d4f68507be5cdee483

Architecture independent packages:

  http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5-admin_5.5.20-2etch3_all.deb
    Size/MD5 checksum:  1161468 170d5eb777223389eed37a8491825b42
  http://security.debian.org/pool/updates/main/t/tomcat5.5/libtomcat5.5-java_5.5.20-2etch3_all.deb
    Size/MD5 checksum:  2385122 70ce8a752564f7cf074775d2619fe5ee
  http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5-webapps_5.5.20-2etch3_all.deb
    Size/MD5 checksum:  1459186 1bdcdab47fcbe02f0ac9b20460f777c8
  http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20-2etch3_all.deb
    Size/MD5 checksum:    56958 89f2145bc6065b94faa74a0587cc908b


  These files will probably be moved into the stable distribution on
  its next update.

- - ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
- -----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkhNhm4ACgkQXm3vHE4uylqTaACg3kr0XtxVBnHjCQPTguEgmwxX
mqkAn0OLLDfrbBZIrj5qImk7CgaSxoLz
=oq2W
- -----END PGP SIGNATURE-----

- -- 
Dipl. Inform. Klaus Moeller (CSIRT)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 6 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...