20311 2009-06-04 13:59:06 +0400 CVE-2009-0033 Apache Tomcat DoS when using Java AJP connector 2010-03-19 17:59:52 +0300 1 1 4 Development Sisyphus tomcat5 unstable all Linux CLOSED FIXED http://seclists.org/bugtraq/2009/Jun/0045.html security P3 blocker --- 1 crux viy damir mithraen viy qa-sisyphus oldest_to_newest 92472 0 crux 2009-06-04 13:59:06 +0400 Обнаружена уязвимоcть в Apache Tomcat. Если Tomcat получает запрос с некорректным заголовком через Java AJP коннектор, он не возвращает ошибки, а вместо этого закрывает AJP соединение. В случае если коннектор участвует в балансировке нагрузки mod_jk, то он блокируется примерно на минуту. Это поведение может быть использовано для организации DoS-атаки. Исправление доступно в новой версии 5.5.28 107938 1 repository-robot 2010-03-19 17:59:52 +0300 tomcat5-0:5.5.27-alt4_7.4jpp5 -> sisyphus: * Fri Mar 19 2010 Igor Vlasenko <viy@altlinux> 0:5.5.27-alt4_7.4jpp5 - updated to fc 7.4 - CVE-2009-0033, CVE-2009-0580 (closes: 20311, 20314) - su -s /bin/sh -c instead of su - (closes: #23073)