viernes, 30 de abril de 2010

Vulnerabilidades en varios componentes de Apache Tomcat

Se ha anunciado una vulnerabilidad en Apache Tomcat versiones 5 y 6, que podría permitir realización de a ataques de cross-site request forgery.

El problema reside en errores de validación de entradas en los componentes Web Application Manager y Host Manager al procesar peticiones http. Un atacante podría emplear esto para manipular datos (como detener o eliminar una aplicación, o añadir un host virtual) al engañar a un administrador para que visite una página web específicamente creada.

Se recomienda cerrar el navegador tras una sesión administrativa de Tomcat Web Application Manager o Host Manager y no navegar por sitios desconocidos o seguir enlaces no confiables mientras se esté autenticado en la interfaz administrativa.


Antonio Ropero
antonior@hispasec.com


Más información:

Apache Tomcat Web Application Manager / Host Manager Vulnerability
http://www.vupen.com/english/advisories/2010/0995

No hay comentarios:

Publicar un comentario en la entrada