Dos vulnerabilidades en Apache Tomcat 4.x, 5.x y 6.x


Se han encontrado dos vulnerabilidades en Apache Tomcat que podrían ser explotadas por un atacante remoto para perpetrar ataques de cross-site scripting o revelar información sensible.





Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

* La primera vulnerabilidad está causada por un fallo en RequestDispatcher, lo que podría ser explotado por un atacante remoto por medio de una petición que incluyera un parámetro especialmente manipulado para acceder a contenido protegido (revelación de información).

* La segunda vulnerabilidad está causada porque el argumento de la llamada a HttpServletResponse.sendError() se muestra en la página de error y también en la respuesta HTTP. Éste argumento podría contener caracteres ilegales para la cabecera HTTP lo que podría permitir la inyección de código script en la respuesta HTTP.

Se recomienda actualizar a las últimas versiones no vulnerables, disponibles desde la web de Apache Tomcat:
http://tomcat.apache.org/


Más Información:

CVE-2008-1232: Apache Tomcat XSS vulnerability
http://www.securityfocus.com/archive/1/495021

CVE-2008-2370: Apache Tomcat information disclosure vulnerability
http://www.securityfocus.com/archive/1/495022

Fuente:
Laboratorio Hispasec
http://www.hispasec.com



Otras noticias de interés:

Ataques DDoS se centran en el sector financiero
El sector financiero se ha convertido en uno de los principales objetivos de los ataques DDoS. En concreto, este sector recibió casi el triple de ataques DDOS (denegación de servicio) durante el primer trimestre de este año que en el mismo periodo...
Lorentz, la próxima actualización de Firefox, podría ser pequeña
Mozilla no se toma ningún descanso en estas fechas, y su equipo todavía está trabajando para definir finalmente el mapa de ruta de este año....
Sun dejará de desarrollar su propia versión Linux
Sun Microsystems está en negociaciones con las principales compañías de Linux, como Red Hat o SuSe Linux, para alcanzar un acuerdo sobre la distribución de este entorno. Hasta el momento la compañía distribuía su propia versión en las máquin...
Microsoft engaña a los comités ISO: sólo MS-Office implementa OOXML
Las conclusiones del estudio realizado por el equipo de OpenXML.info (campaña de la FFII) son de lo más clarificadoras: sólo algunas aplicaciones, utilidades y herramientas técnicas de carácter residual están implementando fragmentos muy peque...
iDefense lanza nueva competencia de hacking
iDefense ha anunciado el lanzamiento de su competencia trimestral de hacking. La anterior edición de la misma se llevo a cabo en el ultimo trimestre del año 2005....
Detección local de archivos en Internet Explorer
Se ha reportado una vulnerabilidad en el Internet Explorer, que podría permitir a un atacante remoto, descubrir que software está instalado en el equipo afectado. Ello se logra comprobando la existencia de ciertos archivos. ...
Microsoft publicará un solo boletín de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se espera un solo boletín de seguridad. La actualización afectaría al sistema operativo Windows....
Tus datos personales son una mina de oro
La digitalización de la vida cotidiana genera miles de registros, sirven para la investigación médica, económica o la lucha contra el terror, las cifras anticipan nuestros actos....
Curso certificación completa de PHP en Margarita - Venezuela del 22 al 26 de abril 2010
Esta pautado a realizarse un nuevo curso básico de PHP, en la isla de Margarita, Nueva Esparta, desde el día 22/04/2010 al 26/04/2010. El curso está estructurado para llevarlo a modo intensivo....
Windows vulnerable por ser Windows
Hace ya casi un año (agosto de 2002), Chris Paget, un experto británico, hizo público un informe conocido como Shatter Attacks - How to break Windows, que describía fallos fundamentales en el diseño de Windows, y que se basan en la manera de f...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • dos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tomcat
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra