Criticas vulnerabilidades detectadas en Apache Tomcat

Se detectaron vulnerabilidades criticas que afectan a las versiones 6.x y 7.x de Tomcat. Las vulnerabilidades permiten saltarse algunas restricciones de seguridad y provocar distintos tipos de ataques como. Las vulnerabilidades ya se encuentran clasificadas en la CVE, con los id 2012-3546 y 2012-4524. CVE-2012-3546: Es posible saltarse los chequeos de seguridad de los FORMS […]

Se detectaron vulnerabilidades criticas que afectan a las versiones 6.x y 7.x de Tomcat. Las vulnerabilidades permiten saltarse algunas restricciones de seguridad y provocar distintos tipos de ataques como.

Las vulnerabilidades ya se encuentran clasificadas en la CVE, con los id 2012-3546 y 2012-4524.

• CVE-2012-3546: Es posible saltarse los chequeos de seguridad de los FORMS añadiendo “/j_security_check” al final de la URL en el caso que algun otro componente realice una llamada a request.setUserPrincipal() antes de llamar a FormAuthenticator#authenticate(). Afecta a desde las versiones 6.0.0.0 hasta las 6.0.35 y desde la 7.0.0.0 a la 7.0.27.
• CVE-2012-4524: Aun no se ha publicado mucha información sobre este reporte, puedes obtener más informacin en los registros de Common Vulnerabilities and Exposures.

Las vulnerabilidades ya han sido asignadas y se está trabajando para liberar un parche, o bien para mitigar ese problema deben realizar las siguientes actualizaciones:

- - Para Tomcat 7.0.x deben actualizar a 7.0.30 o superior
- - Para Tomcat 6.0.x deben actualizar a 6.0.36 o superior