https://rhn.redhat.com/errata/RHSA-2012-0475.html
Details:
2件のセキュリティ問題が修正されたtomcat6パッケージがRHEL6で利用可能になりました。
RedHatセキュリティレスポンス・チームの評価はModerateです。Common Vulnerability Scoring System (CVSS) 基礎スコアは、CVEリンクのリファレンスセクションから利用可能です 。
Apache TomcatはJavaサーブレット及びJavaServerPages(JSP)テクノロジ用のサーブレットコンテナです。
・JavaのhashCode()メソッドの実装で、予測可能なハッシュ衝突の影響を受けやすい事が分かりました。リモートの攻撃者はこの脆弱性を利用して、Tomcatが同じハッシュにマッピングする多数のパラメータを付与したHTTPリクエストを送ることでCPU時間を過剰に使用させる事ができます。このアップデートで問題を緩和させる為に1リクエストあたりに処理するパラメータ数に制限が加えられました。デフォルトの制限はパラメータ数512、ヘッダ数128となっています。このデフォルト値は「org.apache.tomcat.util.http.Parameters.MAX_COUNT」及び「org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT」システムプロパティで変更が可能です。(CVE-2012-4858)
・Tomcatは多数のパラメータと大きなパラメータ値を効率的に処理していない事が発見されました。リモートの攻撃者は多数のパラメータか、大きなパラメータ値を持つHTTPリクエストを送ることでCPU時間を過剰に使用させる事ができます。このアップデートで問題を緩和させる為に1リクエストあたりに処理するパラメータ数に制限が加えられました。システムプロパティ「org.apache.tomcat.util.http.Parameters.MAX_COUNT」及び「org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT」については、CVE-2012-4858の概要を参照してください。(CVE-2012-0022)
レッドハットはoCERTのCVE-2011-4858のレポートに感謝します。CVE-2011-4858のオリジナルレポーターはoCERT acknowledgesのJulian WäldeとAlexander Klinkです。
Tomcatユーザーはこれらの問題が修正された最新版にアップグレードしてください。このアップデートを有効化するにはTomcatの再起動が必要です。
Solution:
この最新版パッケージを適用する前に、あなたのシステム向けに以前にリリースされたすべてのエラッタが適用された事を確認してください。
このアップデートを適用する為にRHNを利用する方法については、次のドキュメントを参照してください。
https://access.redhat.com/kb/docs/DOC-11259
####SRPM####
tomcat6-6.0.24-36.el6_2.src.rpm
####32bit####
tomcat6-6.0.24-36.el6_2.noarch.rpm
tomcat6-admin-webapps-6.0.24-36.el6_2.noarch.rpm
tomcat6-docs-webapp-6.0.24-36.el6_2.noarch.rpm
tomcat6-el-2.1-api-6.0.24-36.el6_2.noarch.rpm
tomcat6-javadoc-6.0.24-36.el6_2.noarch.rpm
tomcat6-jsp-2.1-api-6.0.24-36.el6_2.noarch.rpm
tomcat6-lib-6.0.24-36.el6_2.noarch.rpm
tomcat6-servlet-2.5-api-6.0.24-36.el6_2.noarch.rpm
tomcat6-webapps-6.0.24-36.el6_2.noarch.rpm
####64bit####
tomcat6-6.0.24-36.el6_2.noarch.rpm
tomcat6-admin-webapps-6.0.24-36.el6_2.noarch.rpm
tomcat6-docs-webapp-6.0.24-36.el6_2.noarch.rpm
tomcat6-el-2.1-api-6.0.24-36.el6_2.noarch.rpm
tomcat6-javadoc-6.0.24-36.el6_2.noarch.rpm
tomcat6-jsp-2.1-api-6.0.24-36.el6_2.noarch.rpm
tomcat6-lib-6.0.24-36.el6_2.noarch.rpm
tomcat6-servlet-2.5-api-6.0.24-36.el6_2.noarch.rpm
tomcat6-webapps-6.0.24-36.el6_2.noarch.rpm