Dos vulnerabilidades en Apache Tomcat 4.x, 5.x y 6.x


Se han encontrado dos vulnerabilidades en Apache Tomcat que podrían ser explotadas por un atacante remoto para perpetrar ataques de cross-site scripting o revelar información sensible.





Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

* La primera vulnerabilidad está causada por un fallo en RequestDispatcher, lo que podría ser explotado por un atacante remoto por medio de una petición que incluyera un parámetro especialmente manipulado para acceder a contenido protegido (revelación de información).

* La segunda vulnerabilidad está causada porque el argumento de la llamada a HttpServletResponse.sendError() se muestra en la página de error y también en la respuesta HTTP. Éste argumento podría contener caracteres ilegales para la cabecera HTTP lo que podría permitir la inyección de código script en la respuesta HTTP.

Se recomienda actualizar a las últimas versiones no vulnerables, disponibles desde la web de Apache Tomcat:
http://tomcat.apache.org/


Más Información:

CVE-2008-1232: Apache Tomcat XSS vulnerability
http://www.securityfocus.com/archive/1/495021

CVE-2008-2370: Apache Tomcat information disclosure vulnerability
http://www.securityfocus.com/archive/1/495022

Fuente:
Laboratorio Hispasec
http://www.hispasec.com



Otras noticias de interés:

Actualización del kernel para Debian Linux 5.x
Debian ha publicado una actualización del kernel 2.6.x, que soluciona un total de 31 CVE. Las vulnerabilidades podrían permitir a un atacante llegar a elevar privilegios, causar una denegación de servicio u obtener información sensible. ...
Adobe parcheará mañana Acrobat y Reader
Adobe adelantará su parche de seguridad y lanzará actualizaciones de varias versiones de Reader y Acrobat el 5 de octubre....
Adobe defiende seguridad del PDF
La popularidad de PDF entre los usuarios es la principal causa de que los piratas informáticos lo utilicen para sus ataques, según han explicado desde Adobe. La compañía ha defendido el formato y ha ofrecido algunas recomendaciones sobre su uso....
De MS Word a OpenOffice Writer
La gran mayoría de usuarios informáticos ha trabajado alguna vez (o mucho más que alguna vez) con MS Word. La gran mayoría también usa el mismo conjunto de funcionalidades de este procesador de textos ( y no le saca partido a las funcionalidades...
Ataque a Internet: 80,000 máquinas zombies en Corea
Las investigaciones de las autoridades de diferentes países, han seguido las pistas de quienes intentaron sabotear a los trece servidores raíz encargados de la traducción de nombres a partir de direcciones IP en Internet, ocurrido hace pocas seman...
Rusia aprueba ley sobre control de páginas web
La Cámara baja rusa sancionó ayer la norma que busca cerrar sitios que promuevan pornografía infantil o tráfico de drogas....
Internet podría desplomarse
A juicio de Patrick Gelsinger, director tecnológico de Intel, el enorme éxito de Internet podría llevar a la red de redes a un colapso total. Por ello, la compañía se dispone instalar una red totalmente nueva sobre la estructura de la existente....
Hacker acusado de realizar operaciones no autorizadas de Bolsa
SecurityNewsPortal.com ha publicado que, por primera vez en su historia, Securities and Exchange Commission (SEC) ha iniciado una acción judicial contra un hacker como presunto autor de acciones ilegales en el mercado de valores....
Microsoft se hace con los derechos de Unix, con Mira hacia LINUX
He conseguido una noticia en el club delphi que creo que no vulnera el derecho a información por el tirano y dictador MICROSOFT. ...
5º Aniversario de Google
Hoy en día es un gigante en el mundo de la informática, utilizado por millones de personas cada día, en más de 80 idiomas. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • dos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tomcat
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra