Hogex spotted

Feed Rss

[CentOS6] tomcat6パッケージセキュリティアップデート

04.12.2012, RedHatパッケージアップデート情報, by .

https://rhn.redhat.com/errata/RHSA-2012-0475.html

 

Details:

2件のセキュリティ問題が修正されたtomcat6パッケージがRHEL6で利用可能になりました。

RedHatセキュリティレスポンス・チームの評価はModerateです。Common Vulnerability Scoring System (CVSS) 基礎スコアは、CVEリンクのリファレンスセクションから利用可能です 。

Apache TomcatはJavaサーブレット及びJavaServerPages(JSP)テクノロジ用のサーブレットコンテナです。

 

・JavaのhashCode()メソッドの実装で、予測可能なハッシュ衝突の影響を受けやすい事が分かりました。リモートの攻撃者はこの脆弱性を利用して、Tomcatが同じハッシュにマッピングする多数のパラメータを付与したHTTPリクエストを送ることでCPU時間を過剰に使用させる事ができます。このアップデートで問題を緩和させる為に1リクエストあたりに処理するパラメータ数に制限が加えられました。デフォルトの制限はパラメータ数512、ヘッダ数128となっています。このデフォルト値は「org.apache.tomcat.util.http.Parameters.MAX_COUNT」及び「org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT」システムプロパティで変更が可能です。(CVE-2012-4858)

 

・Tomcatは多数のパラメータと大きなパラメータ値を効率的に処理していない事が発見されました。リモートの攻撃者は多数のパラメータか、大きなパラメータ値を持つHTTPリクエストを送ることでCPU時間を過剰に使用させる事ができます。このアップデートで問題を緩和させる為に1リクエストあたりに処理するパラメータ数に制限が加えられました。システムプロパティ「org.apache.tomcat.util.http.Parameters.MAX_COUNT」及び「org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT」については、CVE-2012-4858の概要を参照してください。(CVE-2012-0022)

 

レッドハットはoCERTのCVE-2011-4858のレポートに感謝します。CVE-2011-4858のオリジナルレポーターはoCERT acknowledgesのJulian WäldeとAlexander Klinkです。

Tomcatユーザーはこれらの問題が修正された最新版にアップグレードしてください。このアップデートを有効化するにはTomcatの再起動が必要です。

 

Solution:

この最新版パッケージを適用する前に、あなたのシステム向けに以前にリリースされたすべてのエラッタが適用された事を確認してください。

このアップデートを適用する為にRHNを利用する方法については、次のドキュメントを参照してください。

https://access.redhat.com/kb/docs/DOC-11259

 

####SRPM####

tomcat6-6.0.24-36.el6_2.src.rpm

 

####32bit####

tomcat6-6.0.24-36.el6_2.noarch.rpm

tomcat6-admin-webapps-6.0.24-36.el6_2.noarch.rpm

tomcat6-docs-webapp-6.0.24-36.el6_2.noarch.rpm

tomcat6-el-2.1-api-6.0.24-36.el6_2.noarch.rpm

tomcat6-javadoc-6.0.24-36.el6_2.noarch.rpm

tomcat6-jsp-2.1-api-6.0.24-36.el6_2.noarch.rpm

tomcat6-lib-6.0.24-36.el6_2.noarch.rpm

tomcat6-servlet-2.5-api-6.0.24-36.el6_2.noarch.rpm

tomcat6-webapps-6.0.24-36.el6_2.noarch.rpm

 

####64bit####

tomcat6-6.0.24-36.el6_2.noarch.rpm

tomcat6-admin-webapps-6.0.24-36.el6_2.noarch.rpm

tomcat6-docs-webapp-6.0.24-36.el6_2.noarch.rpm

tomcat6-el-2.1-api-6.0.24-36.el6_2.noarch.rpm

tomcat6-javadoc-6.0.24-36.el6_2.noarch.rpm

tomcat6-jsp-2.1-api-6.0.24-36.el6_2.noarch.rpm

tomcat6-lib-6.0.24-36.el6_2.noarch.rpm

tomcat6-servlet-2.5-api-6.0.24-36.el6_2.noarch.rpm

tomcat6-webapps-6.0.24-36.el6_2.noarch.rpm

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

   Beat diabetes   Diabetes diet