Confira !!
Uma atualização que corrige três vulnerabilidades já está disponível.
Atualização de segurança do SUSE: atualização de segurança para tomcat6
______________________________________________________________________________
ID do anúncio: SUSE-SU-2020: 14375-1
Classificação: importante
Referências: # 1136085 # 1159723 # 1171928
Referências cruzadas: CVE-2019-0221 CVE-2019-12418 CVE-2020-9484
Produtos afetados:
SUSE Linux Enterprise Server 11-SP4-LTSS
Ponto de Venda do SUSE Linux Enterprise 11-SP3
______________________________________________________________________________
Uma atualização que corrige três vulnerabilidades já está disponível.
Descrição:
Esta atualização para o tomcat6 corrige os seguintes problemas:
CVE-2020-9484 (bsc # 1171928) Execução remota de código do Apache Tomcat via
persistência da sessão
Se um invasor conseguiu controlar o conteúdo e o nome de um arquivo em um
servidor configurado para usar o PersistenceManager, o invasor poderá
acionaram uma execução remota de código via desserialização do arquivo
sob seu controle.
CVE-2019-12418 (bsc # 1159723) Escalonamento de privilégios locais manipulando
o registro RMI e executando um ataque man-in-the-middle
Quando o Tomcat é configurado com o JMX Remote Lifecycle Listener, um local
invasor sem acesso ao processo ou aos arquivos de configuração do Tomcat
capaz de manipular o registro RMI para executar um ataque man-in-the-middle
capturar nomes de usuário e senhas usados para acessar a interface JMX. o
O invasor poderia usar essas credenciais para acessar a interface JMX e
obtenha controle completo sobre a instância do Tomcat.
CVE-2019-0221 (bsc # 1136085) O comando SSI printenv ecoou o usuário fornecido
dados sem escapar, o que o tornou vulnerável ao XSS.
Instruções de patch:
Para instalar esta atualização de segurança do SUSE, use os métodos de instalação recomendados pelo SUSE
como o YaST online_update ou "zypper patch".
Como alternativa, você pode executar o comando listado para o seu produto:
- SUSE Linux Enterprise Server 11-SP4-LTSS:
zypper no patch -t slessp4-tomcat6-14375 = 1
- Ponto de venda do SUSE Linux Enterprise 11-SP3:
zypper no patch -t sleposp3-tomcat6-14375 = 1
Lista de Pacotes:
- SUSE Linux Enterprise Server 11-SP4-LTSS (noarch):
tomcat6-6.0.53-0.57.16.1
tomcat6-admin-webapps-6.0.53-0.57.16.1
tomcat6-docs-webapp-6.0.53-0.57.16.1
tomcat6-javadoc-6.0.53-0.57.16.1
tomcat6-jsp-2_1-api-6.0.53-0.57.16.1
tomcat6-lib-6.0.53-0.57.16.1
tomcat6-servlet-2_5-api-6.0.53-0.57.16.1
tomcat6-webapps-6.0.53-0.57.16.1
- Ponto de venda do SUSE Linux Enterprise 11-SP3 (noarch):
tomcat6-6.0.53-0.57.16.1
tomcat6-admin-webapps-6.0.53-0.57.16.1
tomcat6-docs-webapp-6.0.53-0.57.16.1
tomcat6-javadoc-6.0.53-0.57.16.1
tomcat6-jsp-2_1-api-6.0.53-0.57.16.1
tomcat6-lib-6.0.53-0.57.16.1
tomcat6-servlet-2_5-api-6.0.53-0.57.16.1
tomcat6-webapps-6.0.53-0.57.16.1
Referências:
https://www.suse.com/security/cve/CVE-2019-0221.html
https://www.suse.com/security/cve/CVE-2019-12418.html
https://www.suse.com/security/cve/CVE-2020-9484.html
https://bugzilla.suse.com/1136085
https://bugzilla.suse.com/1159723
https://bugzilla.suse.com/1171928
_______________________________________________
lista de discussão sle-security-updates
sle-security-updates@lists.suse.com
https://lists.suse.com/mailman/listinfo/sle-security-updates
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário