Bug 20313

Summary: CVE-2009-0033 Apache Tomcat DoS when using Java AJP connector
Product: Sisyphus Reporter: Vladimir Lettiev <crux>
Component: tomcat6Assignee: Nobody's working on this, feel free to take it <nobody>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3 Keywords: security
Version: unstable   
Hardware: all   
OS: Linux   
URL: http://seclists.org/bugtraq/2009/Jun/0045.html

Description Vladimir Lettiev 2009-06-04 14:01:09 MSD 
+++ Данная ошибка создана размножением ошибки 20311 +++

Обнаружена уязвимоcть в Apache Tomcat. Если Tomcat получает запрос с некорректным заголовком через Java AJP коннектор, он не возвращает ошибки, а вместо этого закрывает AJP соединение. В случае если коннектор участвует в балансировке нагрузки mod_jk, то он блокируется примерно на минуту. Это поведение может быть использовано для организации DoS-атаки.

Исправление доступно в новой версии 6.0.20
Comment 1 Slava Semushin 2010-01-14 07:52:50 MSK 
* Thu Jan 14 2010 Slava Semushin <php-coder@altlinux> 0:6.0.18-alt6_8jpp5

- NMU
- Applied upstream patches to fix following vulnerabilities:
  + CVE-2009-0033: DoS when using Java AJP connector
    (Closes: #20313)
  + CVE-2009-0580: User enumeration vulnerability with FORM authentication
    (Closes: #20315)
  + CVE-2009-0781: XSS in calendar example