Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket tomcat6
Betroffene Plattformen:
Red Hat Enterprise Linux Desktop Optional (v. 6) – noarch
Red Hat Enterprise Linux HPC Node Optional (v. 6) – noarch
Red Hat Enterprise Linux Server (v. 6) – noarch
Red Hat Enterprise Linux Server Optional (v. 6) – noarch
Red Hat Enterprise Linux Workstation (v. 6) – noarch
Red Hat Enterprise Linux Workstation Optional (v. 6) – noarch
Zwei Schwachstellen im Apache Tomcat Webserver ermöglichen einem entfernten
Angreifer einen Denial of Service-Angriff durchzuführen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
CVE-2012-0022: Schwachstelle in Apache Tomcat
Als Folge der Untersuchung von Hash-Kollisionen bei Formularwerten, wurde
festgestellt, dass die Behandlung von großen Mengen an Parametern in Tomcat
sehr ineffizient ist. Dies erlaubt einem entfernten Angreifer
schlimmstenfalls einen Denial of Service-Angriff durchzuführen, indem er
eine speziell präparierte Anfrage schickt.
CVE-2011-4858: Schwachstelle in Apache Tomcat
In Apache Tomcat vor Version 5.5.35, 6.0.35 und 7.0.23 ist es durch die
verwendete Hashfunktion bei der Auswertung von Formularparametern möglich,
Kollisionen in vorhersehbarer Weise zu berechnen. Dies erlaubt einem
entfernten Angreifer einen Denial of Service-Angriff durchzuführen, indem er
Formulardaten sendet, deren Werte zu Hashkollisionen führen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0672/
Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2012-0475.html
Schwachstelle CVE-2011-4858:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4858
Schwachstelle CVE-2012-0022:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0022
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
