Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
Описание
Apache Tomcat, когда используется аутентификация FORM, позволяет злоумышленникам, действующим удаленно, получить список действующих имен пользователей, используя запросы к /j_security_check с некорректно URL-зашифрованными паролями, связанными с некоторой ошибкой в проверке аутентификации MemoryRealm, DataSourceRealm и JDBCRealm, как показано на примере значения % (процент) для параметра j_password.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.apache.org/
http://support.novell.com/security/cve/CVE-2009-0580.html
http://www.apache.org/
http://support.novell.com/security/cve/CVE-2009-0580.html
Ссылки
BID (35196): http://www.securityfocus.com/bid/35196
XF (tomcat-jsecuritycheck-info-disclosure(50930)): http://xforce.iss.net/xforce/xfdb/50930
http://support.novell.com/security/cve/CVE-2009-0580.html
XF (tomcat-jsecuritycheck-info-disclosure(50930)): http://xforce.iss.net/xforce/xfdb/50930
http://support.novell.com/security/cve/CVE-2009-0580.html