Vulnerabilidad en Apache Tomcat


Apache Software Foundation ha hecho pública la resolución de una nueva vulnerabilidad en Apache Tomcat. Esta vulnerabilidad con el CVE-2011-2729 (afecta a las versiones 5, 6 y 7), y queda definida con un nivel de severidad de Importante al permitir la revelación de información sensible.





Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

Debido a un error en las políticas de seguridad del servicio jsvc se permitiría a las aplicaciones web tener acceso a ficheros y directorios pertenecientes al superusuario.

Esta situación sólo se daría si la instalación de Tomcat está bajo un sistema operativo Linux, el servicio jsvc fue compilado con libcap y se utilizó el parámetro -user.

Se recomienda actualizar Tomcat y aplicar las contramedidas necesarias:

Versiones afectadas
* Tomcat 7.0.0 a 7.0.19
Actualizar a la versión ya disponible 7.0.20:
http://tomcat.apache.org/download-70.cgi

* Tomcat 6.0.30 a 6.0.32 y Tomcat 5.5.32 a 5.5.33
Utilizar las contramedidas disponibles hasta que se hagan públicas las nuevas versiones (6.0.33 y 5.5.34 respectivamente):
* Actualizar el servicio jsvc a la versión 1.0.7 o posterior.
* No utilizar el parámetro -user para cambiar de usuario
* Recompilar el servicio jsvc sin libcap.

Más Información:

Fixed in Apache Tomcat 7.0.20 - Important: Information disclosure CVE-2011-2729
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.20

Apache Tomcat - Security Updates
http://tomcat.apache.org/security.html

Fuente:
Por José Mesa Orihuela
http://www.hispasec.com



Otras noticias de interés:

Llega el relevo de Wimax
xMax se anuncia como un nuevo sistema de comunicación por banda ancha hasta mil veces más rápido que Wimax. ...
Política de privacidad de Google, no es bien vista
Desde el jueves pasado, Google ya inicio el funcionamiento de una nueva política de privacidad, con la que a juicio de esta corporación, intenta hacer que el usuario navegue por Internet con una mayor facilidad, lo cual se simplifica en que mantend...
Las armas de la guerra cibernética
La posibilidad de un ataque contra la infraestructura informática de un país es un espectro que preocupa a los gobiernos. Y que recientemente se convirtió en una realidad....
BlackBerry admite problemas de seguridad
RIM, el fabricante de BlackBerry, ha emitido dos avisos de seguridad en los que advierte a los usuarios de su smartphone y a los administradores de sistemas BES (Blackberry Enterprise Server) de nuevas brechas de seguridad en varias versiones del sof...
Servicios antiphishing ¿efectivos?
Un estudio de Symantec revela que el 25% de las visitas a un sitio de phishing se produce durante la primera hora del lanzamiento del fraude. Transcurridas 12 horas habrá recibido el 60% de las visitas. Si los servicios antiphishing tardan más de 2...
Cómo saltarse el detector de billetes de Photoshop ?.
Tras reconocer públicamente Adobe que la nueva versión de su programa incorpora un protector de billetes, ya se conocen varias formas de saltarse el polémico detector. ...
Disponible Cotejo N° 5 - 27/08/2011
Está disponible para su lectura y descarga el número 5 de la eZine Cotejo de VaSlibre, la revista digital referente al Software Libre (GNU/Linux). Revista digital de publicación bimensual. Disfrutenla!...
Bouncer de Android Market un fiasco?
Un investigador de la Universidad del Estado de Carolina del Norte ha asegurado que un tipo de malware específico podría vulnerar el nuevo control de seguridad de Android Market, Bouncer. ...
Adiós a Red Hat Linux
En el ambiente linux ha caido esta noticia como un balde de agua fría, Red Hat se va......
Publicada TuxInfo No.16
Ya está disponible para su descarga el número 16 de TuxInfo, excelente revista electronica basada en software libre, en esta oportunidad comentan:...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tomcat
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra