-----BEGIN PGP SIGNED MESSAGE-----
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2008-1947 - Cross-Site Scripting Schwachstellen in Apache Tomcat
Die Host Manager Anwendung in Apache Tomcat filtert die uebergebenen
Parameter 'name' in den Skript 'host-manager/html/add' ungenuegend auf
enthaltenen Skript- oder HTML-Code und kann so fuer Cross-Site
Scripting Angriffe missbraucht werden. Entfernte Angreifer, die sich
in der Anwendung authentifiziert haben, koennen dadurch Skriptcode im
Browser anderer Benutzer ausfuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket tomcat5.5 in der stable Distribution (etch) vor Version
5.5.20-2etch3
Paket tomcat5.5 in der unstable Distribution (sid) vor Version 5.5.26-3
Stable Distribution (etch)
Unstable Distribution (sid)
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
http://www.debian.org/security/2008/dsa-1593
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
- -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
- - ------------------------------------------------------------------------
Debian Security Advisory DSA-1593-1 security@debian.org
http://www.debian.org/security/ Moritz Muehlenhoff
June 09, 2008 http://www.debian.org/security/faq
- - ------------------------------------------------------------------------
Package : tomcat5.5
Vulnerability : missing input sanitising
Problem type : remote
Debian-specific: no
CVE Id(s) : CVE-2008-1947
Tt was discovered that the Host Manager web application performed
insufficient input sanitising, which could lead to cross-site scripting.
For the stable distribution (etch), this problem has been fixed in
version 5.5.20-2etch3.
For the unstable distribution (sid), this problem has been fixed in
version 5.5.26-3.
We recommend that you upgrade your tomcat5.5 packages.
Upgrade instructions
- - --------------------
wget url
will fetch the file for you
dpkg -i file.deb
will install the referenced file.
If you are using the apt-get package manager, use the line for
sources.list as given below:
apt-get update
will update the internal database
apt-get upgrade
will install corrected packages
You may use an automated update by adding the resources from the
footer to the proper configuration.
Debian GNU/Linux 4.0 alias etch
- - -------------------------------
Stable updates are available for alpha, amd64, arm, hppa, i386, ia64, mips, mipsel, powerpc, s390 and sparc.
Source archives:
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20-2etch3.dsc
Size/MD5 checksum: 1277 119f28678cab927a6be1cd1e6622cb70
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20.orig.tar.gz
Size/MD5 checksum: 4796377 5775bae8fac16a0e3a2c913c4768bb37
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20-2etch3.diff.gz
Size/MD5 checksum: 29340 1018b80cfeeea2d4f68507be5cdee483
Architecture independent packages:
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5-admin_5.5.20-2etch3_all.deb
Size/MD5 checksum: 1161468 170d5eb777223389eed37a8491825b42
http://security.debian.org/pool/updates/main/t/tomcat5.5/libtomcat5.5-java_5.5.20-2etch3_all.deb
Size/MD5 checksum: 2385122 70ce8a752564f7cf074775d2619fe5ee
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5-webapps_5.5.20-2etch3_all.deb
Size/MD5 checksum: 1459186 1bdcdab47fcbe02f0ac9b20460f777c8
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20-2etch3_all.deb
Size/MD5 checksum: 56958 89f2145bc6065b94faa74a0587cc908b
These files will probably be moved into the stable distribution on
its next update.
- - ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
- -----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkhNhm4ACgkQXm3vHE4uylqTaACg3kr0XtxVBnHjCQPTguEgmwxX
mqkAn0OLLDfrbBZIrj5qImk7CgaSxoLz
=oq2W
- -----END PGP SIGNATURE-----
- --
Dipl. Inform. Klaus Moeller (CSIRT)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
Ähnliche Artikel
Die neue Version der schlanken und flexiblen Firewall stopft die vor einigen Tagen entdeckten kritischen Sicherheitslücken im Kernel. Das Update von OpenVPN auf die Version 2.7 steigert zudem massiv den Durchsatz über VPN-Tunnel.
Fünf fabelhafte Fakten der Woche, die es irgendwie nicht zu einer Meldung auf Linux-Magazin Online geschafft haben – und warum eigentlich nicht. Oder mit den Worten einer namhaften KI: „Die Linux-Woche in Bits und Panik.“
Die Louis Armstrong gewidmete Version des Content-Management-Systems kommuniziert auf Wunsch mit generativer KI, zeigt ein leicht aufpoliertes Backend, erlaubt einen schnellen Blick in die Vergangenheit und kann die Schriftbibliothek in allen Themes nutzen.
Das Proxmox Virtual Environment bietet einen neuen Cluster Resource Scheduler (CRS) für das Load Balancing, verbessert das Software Defined Networking (SDN), verwaltet benutzerdefinierte CPUs über die Weboberfläche und erlaubt ein „disarm“ des HA-Managers.
Das Live-System Tails erlaubt das anonyme Surfen im Internet über das Tor-Netzwerk. Die neue Version 7.8 schmeißt Thunderbird von Bord – wer den E-Mail-Client benötigt, muss ihn ab sofort manuell nachinstallieren. Diese Maßnahme hat allerdings einen triftigen Grund.
