Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Описание
Apache Tomcat некорректно обрабатывает последовательность символов «\» в cookie, что может вызвать разглашение информации, такой как идентификаторы сессии. Получение такой информации позволяет злоумышленникам, действующим удаленно, производить атаки захвата сессии.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://tomcat.apache.org/
Как временное решение производитель рекомендует проверять наличие в последовательности символов в web proxy некорректных символов.
http://tomcat.apache.org/
Как временное решение производитель рекомендует проверять наличие в последовательности символов в web proxy некорректных символов.
Ссылки
BUGTRAQ (20070814 CVE-2007-3385: Handling of \): http://www.securityfocus.com/archive/1/archive/1/476444/100/0/threaded
CERT-VN (VU#993544): http://www.kb.cert.org/vuls/id/993544
CERT-VN (VU#993544): http://www.kb.cert.org/vuls/id/993544