Se detectaron vulnerabilidades criticas que afectan a las versiones 6.x y 7.x de Tomcat. Las vulnerabilidades permiten saltarse algunas restricciones de seguridad y provocar distintos tipos de ataques como.
Las vulnerabilidades ya se encuentran clasificadas en la CVE, con los id 2012-3546 y 2012-4524.
- CVE-2012-3546: Es posible saltarse los chequeos de seguridad de los FORMS añadiendo «/j_security_check» al final de la URL en el caso que algun otro componente realice una llamada a request.setUserPrincipal() antes de llamar a FormAuthenticator#authenticate(). Afecta a desde las versiones 6.0.0.0 hasta las 6.0.35 y desde la 7.0.0.0 a la 7.0.27.
- CVE-2012-4524: Aun no se ha publicado mucha información sobre este reporte, puedes obtener más informacin en los registros de Common Vulnerabilities and Exposures.
Las vulnerabilidades ya han sido asignadas y se está trabajando para liberar un parche, o bien para mitigar ese problema deben realizar las siguientes actualizaciones:
- - Para Tomcat 7.0.x deben actualizar a 7.0.30 o superior
- - Para Tomcat 6.0.x deben actualizar a 6.0.36 o superior