• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Разглашение данных

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
tomcat5 (ES10SP2 - 0, ES10SP2 - 5.0.30-27.40, Unknown) tomcat55 (OS10r3 - 0, OS10r3 - 5.5.23-113.13) tomcat6 (OS11r0 - 0, OS11r0 - 6.0.16-6.5, OS11r1 - 0, OS11r1 - 6.0.18-16.2.1)
Описание
Apache Tomcat, когда используется аутентификация FORM, позволяет злоумышленникам, действующим удаленно, получить список действующих имен пользователей, используя запросы к /j_security_check с некорректно URL-зашифрованными паролями, связанными с некоторой ошибкой в проверке аутентификации MemoryRealm, DataSourceRealm и JDBCRealm, как показано на примере значения % (процент) для параметра j_password.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.apache.org/
http://support.novell.com/security/cve/CVE-2009-0580.html