Bug 20314

Summary: CVE-2009-0580 Apache Tomcat User enumeration vulnerability with FORM authentication
Product: Sisyphus Reporter: Vladimir Lettiev <crux>
Component: tomcat5Assignee: viy <viy>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3 CC: damir, mithraen, viy
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://seclists.org/bugtraq/2009/Jun/0046.html

Description Vladimir Lettiev 2009-06-04 14:11:40 MSD
Вследствие недостаточной проверки ошибок в некоторых классах аутентификации, Tomcat позволяет перебор (brute force testing) имён пользователей, получая специально сформированные URL-encoded пароли. Атака возможна если используется аутентификация, основанная на формах (j_security_check) с использованием следующих authentication realms:
* MemoryRealm
* DataSourceRealm
* JDBCRealm

Исправление доступно в новой версии: 5.5.28
Comment 1 Slava Semushin 2010-01-12 08:09:56 MSK
Насколько я понимаю, у нас две версии Tomcat и обе из них подвержены этой уязвимости. Причем, по ссылке есть как предложение обновиться по версии так и просто готовые патчи.

2viy@: ping. Когда ждать?
Comment 2 viy 2010-01-12 21:45:15 MSK
(В ответ на комментарий №1)
> Насколько я понимаю, у нас две версии Tomcat и обе из них подвержены этой
> уязвимости. Причем, по ссылке есть как предложение обновиться по версии так и
> просто готовые патчи.
> 
> 2viy@: ping. Когда ждать?

пока руки не доходят, занят репокопом.
если есть желание, выдам acl.
Comment 3 Repository Robot 2010-03-19 17:59:53 MSK
tomcat5-0:5.5.27-alt4_7.4jpp5 -> sisyphus:

* Fri Mar 19 2010 Igor Vlasenko <viy@altlinux> 0:5.5.27-alt4_7.4jpp5

- updated to fc 7.4
- CVE-2009-0033, CVE-2009-0580 (closes: 20311, 20314)
- su -s /bin/sh -c instead of su - (closes: #23073)