Scientific Linux 安全更新：SL6.x i386/x86_64 中的 tomcat6

medium Nessus 插件 ID 61051

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

Apache Tomcat 是适用于 Java Servlet 和 JavaServer Pages (JSP) 技术的 servlet 容器。

已发现 Web 应用程序可以修改 Tomcat 主机工作目录的位置。当部署在 Tomcat 上的 Web 应用程序有权读取和写入此目录时，恶意 Web 应用程序可利用此缺陷欺骗 Tomcat 赋予它读取和写入文件系统上任意目录的权限。
(CVE-2010-3718)

在用于管理 Tomcat 上的 Web 应用程序的管理器应用程序中发现一个跨站脚本 (XSS) 缺陷。如果远程攻击者可以欺骗登录到管理器应用程序的用户，使其访问特别构建的 URL，攻击者就能够以登录用户的权限来执行管理器应用程序任务。
(CVE-2010-4172)

在管理器应用程序中发现第二个跨站脚本 (XSS) 缺陷。恶意 Web 应用程序可利用此缺陷执行 XSS 攻击，导致使用已登录并且正在查看管理器应用程序网页的受害者的权限执行任意 Web 脚本。(CVE-2011-0013)

此更新还修复以下缺陷：

-“tomcat6”init 脚本的缺陷导致无法启动其他 Tomcat 实例。此外，运行“service tomcat6 start”导致使用“/etc/tomcat6/tomcat6.conf”中的配置选项覆盖从“/etc/sysconfig/tomcat6”应用的配置选项。通过此更新，Tomcat 的多种实例可按预期运行。
(BZ#636997)

- “/usr/share/java/”目录缺少指向“/usr/share/tomcat6/bin/tomcat-juli.jar”库的符号链接。由于对特定操作（如运行 Jasper JSP 预编译器）而言此库为必需，因此“build-jar-repository”命令无法构建出有效的类路径。通过此更新，添加了缺少的符号链接。(BZ#661244)

- 以前，当 Tomcat 配置为在不具有有效的登录 shell 的用户下运行时，“tomcat6” init 脚本无法运行 Tomcat 并出现“This account is currently not available.”消息。此更新修改了 init 脚本，以在任何后台程序用户的登录 shell 下正常工作。
此外，如部署最佳实践所建议，这些新的 tomcat6 程序包现在在安装时将“/sbin/nologin”设置为“tomcat”用户的登录 shell。(BZ#678671)

- 某些标准的 Tomcat 目录缺少“tomcat”群组的写入权限，这可造成某些应用程序失败并出现“No output folder”等错误。此更新为“tomcat”组添加了对受影响目录的写入权限。
(BZ#643809)

- “/usr/sbin/tomcat6”封装程序在“catalina.out”文件中使用硬编码路径，因此如果使用“tomcat”以外的其他用户运行 Tomcat 并将 CATALINA_BASE 设置为默认设置以外的其他目录，这可造成问题（如记录 init 脚本输出）。（BZ#695284、BZ#697504）

- 当部署某些 Web 应用程序时，终止 Tomcat 会导致将回溯错误记录到“catalina.out”。(BZ#698624)

Tomcat 用户应升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。必须重新启动 Tomcat，才能使此更新生效。