Corregidas tres vulnerabilidades en Apache Tomcat


Se han corregido tres nuevas vulnerabilidades en Apache Tomcat (versiones 6.0.0 a 6.0.20 y 5.5.0 a 5.5.28), que podrían permitir a un atacante evitar restricciones de seguridad, conseguir información sensible o manipular datos.





El primero de los problemas está provocado por un error de validación de entrada cuando despliega archivos WAR, que podría permitir a un atacante crear contenido arbitrario fuera de la carpeta raiz de la web mediante una escalada de directorios.

Una segunda vulnerabilidad se debe a un error cuando se despliegan archivos tras un despliegue fallido, lo que podría provocar que se desplieguen archivos arbitrarios sin restricciones de seguridad, haciéndolos accesibles sin autenticación.

Un último problema está provocado por un error de validación de entrada al desplegar y replegar archivos WAR con nombres específicamente creados, lo que podría permitir a un atacante borrar los contenidos del directorio de trabajo del host.

Se recomienda actualizar a Apache Tomcat versión 6.0.24:
http://tomcat.apache.org/download-60.cgi

o aplicar las actualizaciones para Tomcat 5.x disponibles desde:
http://svn.apache.org/viewvc?rev=902650&view=rev

 

Fuente:
Por Antonio Ropero
http://www.hispasec.com



Otras noticias de interés:

Envenenando la Información
Psyops es el termino que se usa en el argot militar para referirse a la diversas estrategias desplegadas en un conflicto armado con objeto de influir al contrario buscando desmoralizarle o incluso hacer que apoye nuestra causa. Podríamos decir que e...
VENENUX nueva distribución GNU/Linux Venezolana
VENENUX esta basada en Debian, es un live cd originalmente, tambien es una metadistro instalable, con repositorios y paquetes de software desarrollados propiamente para fines especiales que distingen y potencian la distro....
Nueva técnica indentifica correos anónimos
Los correos electrónicos anónimos podrían acercarse a su extinción gracias a una nueva técnica desarrollada por investigadores de la Universidad de Concordia en Canadá que permite ubicar quién es el autor de un mensaje no firmado....
El Likejacking asaltando el Me gusta de Facebook
Los investigadores de seguridad están avisando de una nueva amenaza en Facebook, que llaman likejacking, un ataque de clickjacking para engañar a los usuarios y que hagan click en enlaces que marcan una web como Me gusta pero que apuntan a otra pá...
Agujero de seguridad en WordPress
Desde el blog de Rooibo, el autor explica en forma sencilla como trabaja este nuevo fallo de WordPress....
Yahoo lanzó una actualización para su programa de mensajería instantánea.
Es considerada fundamental para corregir una vulnerabilidad en Yahoo Messenger. El popular buscador de Internet anunció que está disponible una actualización considerada fundamental para su programa de mensajería instantánea, por lo que recomien...
CEO de INQ considera que Android es para geeks
Frank Meehan, CEO de la marca británica INQ, asegura que la plataforma de Google no resulta interesante si no eres un friki de la informática....
Mozilla deshabilita descarga de Firefox 16 por fallo de seguridad
La Fundación Mozilla ha decidido deshabilitar la descarga de la versión 16 de su navegador web Firefox de forma temporal. ...
Internet Explorer 6 y 7 vulnerables a nuevo exploit
Este fin de semana se ha publicado online un exploit para los navegadores IE6 e IE7. De momento no está muy desarrollado, pero los expertos creen que habrá una versión funcional peligrosa en las próximas semanas....
Webcast: Open Storage (Mucho Más que Almacenamiento)
Sun Microsystems, Inc. invita a el Webcas: El reto del almacenamiento tal como el crecimiento exponencial de datos y el incremento en los costos se están volviendo un problema en la administración de la información, esto sin dejar atrás el impact...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • corregidas
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tomcat
  • tor
  • tres
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra