Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Apache Tomcat
(3.0, 3.1, 3.1.1, 3.2, 3.2.4, 3.3.1a, 3.3a)
Описание
Jakarta Tomcat содержит уязвимость, которая позволяет удаленно вызвать межсайтовый скриптинг. Уязвимость существует, потому что приложение не проверяет множественные переменные в тестовых приложениях. Для эксплуатации уязвимости пользователь создает специально сформированный URL, который позволит выполнить произвольный код в браузере пользователя в контексте безопасности сервера.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://tomcat.apache.org/
http://tomcat.apache.org/
Ссылки
Apache http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/
Apache (Apache Tomcat 3.3.1a): http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/RELEASE-NOTES-3.3.1a.txt
Security Focus (bid 6720): http://online.securityfocus.com/bid/6720
Debian (DSA-246-1 tomcat -- information exposure, cross site scripting): http://www.debian.org/security/2003/dsa-246
HP (HPSBUX0303-249): http://www.securityfocus.com/advisories/5111
CIAC (N-060): http://www.ciac.org/ciac/bulletins/n-060.shtml
BID (6720): http://www.securityfocus.com/bid/6720
XF (tomcat-web-app-xss(11196)): http://xforce.iss.net/xforce/xfdb/11196
Apache (Apache Tomcat 3.3.1a): http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/RELEASE-NOTES-3.3.1a.txt
Security Focus (bid 6720): http://online.securityfocus.com/bid/6720
Debian (DSA-246-1 tomcat -- information exposure, cross site scripting): http://www.debian.org/security/2003/dsa-246
HP (HPSBUX0303-249): http://www.securityfocus.com/advisories/5111
CIAC (N-060): http://www.ciac.org/ciac/bulletins/n-060.shtml
BID (6720): http://www.securityfocus.com/bid/6720
XF (tomcat-web-app-xss(11196)): http://xforce.iss.net/xforce/xfdb/11196