tomcat6-6.0.24-78.AXS4

エラータID: AXSA:2014-496:04

リリース日: 
2014/08/14 Thursday - 14:16
題名: 
tomcat6-6.0.24-78.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86
Asianux Server 4 for x86_64
Severity: 
Low
Description: 

以下項目について対処しました。

[Security Fix]
- Apache Tomcat には攻撃者がエンティティ参照と外部エンティティ宣言を含む context.xml, web.xml, *.jspx, *.tagx, *.tld XML ドキュメントを持つ信頼できない Web アプリケーションの存在をきっかけとして,"Tomcat internals" 情報を取得できる脆弱性があります。(CVE-2013-4590)

- Apache Tomcat が XSLT スタイルシートとともに使用される XML パーサに
アクセスするクラスローダを適切に制限しておらず,リモートの攻撃者が (1) 任意のファイルを読み込む,エンティティ参照と XML 外部エンティティ宣言を提供する巧妙に細工された Web アプリケーションによって任意のファイルを読み込む,あるいは (2) 巧妙に細工された Web アプリケーションによって,単一の Tomcat インスタンス上での異なった Web アプリケーションと関連するファイルファイルを読み込む脆弱性があります。 (CVE-2014-0119)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2013-4590
Apache Tomcat before 6.0.39, 7.x before 7.0.50, and 8.x before 8.0.0-RC10 allows attackers to obtain "Tomcat internals" information by leveraging the presence of an untrusted web application with a context.xml, web.xml, *.jspx, *.tagx, or *.tld XML document containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue.
CVE-2014-0119
Apache Tomcat before 6.0.40, 7.x before 7.0.54, and 8.x before 8.0.6 does not properly constrain the class loader that accesses the XML parser used with an XSLT stylesheet, which allows remote attackers to (1) read arbitrary files via a crafted web application that provides an XML external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue, or (2) read files associated with different web applications on a single Tomcat instance via a crafted web application.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. tomcat6-6.0.24-78.AXS4.src.rpm
    MD5: a0b348e52909175dfbf867f0e449f6d6
    SHA-256: 9c3476cf00543ee4788a9cc9b61d4a4deddf4d09e072efff682df7b43580cb3f
    Size: 3.57 MB

Asianux Server 4 for x86
  1. tomcat6-6.0.24-78.AXS4.noarch.rpm
    MD5: 0bc077352449e5362d530a6fc0efa203
    SHA-256: a9435f438000a096bbeba9ef3cf36cfa79c22abd296ac00cc7970e93b36665b7
    Size: 91.17 kB
  2. tomcat6-el-2.1-api-6.0.24-78.AXS4.noarch.rpm
    MD5: 68a1161bfb99fec9b1d1b61b7229131c
    SHA-256: 4c7fd77b1158fb2b2129cd7fca2ec0ca83ccc6bde6c2f9a3eda60102b7f8dde2
    Size: 46.77 kB
  3. tomcat6-jsp-2.1-api-6.0.24-78.AXS4.noarch.rpm
    MD5: bdeb36df1304777f3959f0abfdf2b545
    SHA-256: 16f90b9f1ed383620674d57963ab4d9093950f4a50257080d969d1f6f45306cc
    Size: 83.67 kB
  4. tomcat6-lib-6.0.24-78.AXS4.noarch.rpm
    MD5: d5560296616b670e506d46528477a7a6
    SHA-256: aab98d562e573447d777f9aef6f2953bbc1fa974c8be4cffbea58a4fd60e31ea
    Size: 2.90 MB
  5. tomcat6-servlet-2.5-api-6.0.24-78.AXS4.noarch.rpm
    MD5: ca8309b09e7bebc119780360bcae216d
    SHA-256: 496ff676142c06efe6cf4271152de5b8010e65a2608f82b84627748e0297e79e
    Size: 97.55 kB

Asianux Server 4 for x86_64
  1. tomcat6-6.0.24-78.AXS4.noarch.rpm
    MD5: 56176663c61a289693fc88863eeda865
    SHA-256: a6f4f48ace36ef20bd3e2079ee8a342d195a9e7d343d3fc85b735dfbef536c98
    Size: 90.72 kB
  2. tomcat6-el-2.1-api-6.0.24-78.AXS4.noarch.rpm
    MD5: 21daf22307e111d80fbfddd186943cde
    SHA-256: f4f99aca74d15fe5b6b7ce104384efc8b910121caf941bcd8b3b9f044ae62bd5
    Size: 46.32 kB
  3. tomcat6-jsp-2.1-api-6.0.24-78.AXS4.noarch.rpm
    MD5: bce5779698e752eedbcb76fdfc19feca
    SHA-256: c2b8aa9c52e91de43331e070a3bc3d6873dc53ac4bc9f40ad5f8ae9dbdf79ba9
    Size: 83.22 kB
  4. tomcat6-lib-6.0.24-78.AXS4.noarch.rpm
    MD5: 687f412a3faf473dec1b906e0fba2d5b
    SHA-256: 766461937acad86fcc68188e061449115a0c350b68876e7604d10ddfdf2725b5
    Size: 2.90 MB
  5. tomcat6-servlet-2.5-api-6.0.24-78.AXS4.noarch.rpm
    MD5: cd98ee6d732a28943e050d04e8b1ff07
    SHA-256: ce3fc3a38f871d6644399c3f6c842a2dbe126e02d84f0a6949be7b75cd6d1623
    Size: 97.11 kB