Apache выпустила исправления уязвимостей в Tomcat

Apache исправила ряд незначительных уязвимостей в Tomcat. Бреши, как сообщается, позволяли злоумышленникам осуществить DoS-атаку или обойти ограничения доступа к файлам.

Уязвимости были найдены в шестой, седьмой и восьмой версиях контейнера сервлетов с открытым исходным кодом. Обнаружены они были в период с февраля по апрель этого года.

Известно, что брешь CVE-2014-0096 позволяет удаленному пользователю обойти ограничения безопасности и получить доступ к определенной конфиденциальной информации. При этом подчеркивается, что уязвимость существует из-за ошибки при обработке определенных внешних XML сущностей во время использования XSLT форматирования списка каталогов.

Эксплуатация уязвимости CVE-2014-0075 позволяла злоумышленникам отправлять неограниченное количество данных на сервер с помощью специально сформированного размером сегмента.