Vulnerabilidad en Apache Tomcat


Apache Software Foundation ha hecho pública la resolución de una nueva vulnerabilidad en Apache Tomcat. Esta vulnerabilidad con el CVE-2011-2729 (afecta a las versiones 5, 6 y 7), y queda definida con un nivel de severidad de Importante al permitir la revelación de información sensible.





Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

Debido a un error en las políticas de seguridad del servicio jsvc se permitiría a las aplicaciones web tener acceso a ficheros y directorios pertenecientes al superusuario.

Esta situación sólo se daría si la instalación de Tomcat está bajo un sistema operativo Linux, el servicio jsvc fue compilado con libcap y se utilizó el parámetro -user.

Se recomienda actualizar Tomcat y aplicar las contramedidas necesarias:

Versiones afectadas
* Tomcat 7.0.0 a 7.0.19
Actualizar a la versión ya disponible 7.0.20:
http://tomcat.apache.org/download-70.cgi

* Tomcat 6.0.30 a 6.0.32 y Tomcat 5.5.32 a 5.5.33
Utilizar las contramedidas disponibles hasta que se hagan públicas las nuevas versiones (6.0.33 y 5.5.34 respectivamente):
* Actualizar el servicio jsvc a la versión 1.0.7 o posterior.
* No utilizar el parámetro -user para cambiar de usuario
* Recompilar el servicio jsvc sin libcap.

Más Información:

Fixed in Apache Tomcat 7.0.20 - Important: Information disclosure CVE-2011-2729
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.20

Apache Tomcat - Security Updates
http://tomcat.apache.org/security.html

Fuente:
Por José Mesa Orihuela
http://www.hispasec.com



Otras noticias de interés:

Tux Info No. 46 disponible
Ya está disponible la nueva edición de esta excelente revista digital. Los temas que trata esta edición: ...
Tecnología empuja a la sociedad a un umbral comunicacional
En The Be Mobile Conference, especialistas pronosticaron cambios profundos en los modos en que los individuos se relacionan entre sí y con el mundo. ...
Desarrolladores chilenos lanzan LinuXP
La versión de este sistema operativo pretende acercar al usuario de PC a un entorno amigable y conocido, presentando un menú de opciones enfocadas al uso cotidiano de un computador en el ambiente empresarial y hogareño....
Parche de seguridad en Flash Player
Adobe ha publicado una nueva versión de su reproductor Flash, la 10.0.22.87, que soluciona un problema de seguridad tanto en Adobe Flash Player 10.0.12.36 -la que hasta ahora era la última versión- como en versiones anteriores de este popular comp...
Tiene "Catherine Zeta-Jones" virus informático
Un nuevo gusano informático es difundido a través de internet bajo el nombre de la actriz Catherine Zeta-Jones, mismo que se presenta como un archivo que contiene presuntas imágenes no autorizadas de la esposa de Michael Douglas....
VENENUX nueva distribución GNU/Linux Venezolana
VENENUX esta basada en Debian, es un live cd originalmente, tambien es una metadistro instalable, con repositorios y paquetes de software desarrollados propiamente para fines especiales que distingen y potencian la distro....
Huevo de pascua en Google Talk
Si bien no parece estar recibiendo las mejores críticas el mensajero de Google, este vive despreocupado por esos asuntos y hasta se dedica a esconder juegos en su cliente de mensajería....
Los superordenadores prefieren GNU/Linux
La lista de los 500 ordenadores más potentes del planeta ha coronado a Linux, una vez más, como el sistema operativo preferido por sus administradores, conforme al último informe semestral de la organización Top500, y del que se hace eco PC World...
La semana de los fallos en Oracle
Siguiendo la estela del mes de los fallos en navegadores y del mes de los errores en el núcleo, Cesar Cerrudo emprende una nueva campaña centrada en un solo producto: La semana de los bugs en Oracle (Week of Oracle Database Bugs) ha sido anu...
Actualización de Firefox 3.5.3
Los desarrolladores de Mozilla han lanzado una actualización de Firefox; la versión 3.5.3, que corrige algunos problemas de estabilidad y vulnerabilidad....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tomcat
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra