Bug 20311

Summary: CVE-2009-0033 Apache Tomcat DoS when using Java AJP connector
Product: Sisyphus Reporter: Vladimir Lettiev <crux>
Component: tomcat5Assignee: viy <viy>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3 CC: damir, mithraen, viy
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://seclists.org/bugtraq/2009/Jun/0045.html

Description Vladimir Lettiev 2009-06-04 13:59:06 MSD 
Обнаружена уязвимоcть в Apache Tomcat. Если Tomcat получает запрос с некорректным заголовком через Java AJP коннектор, он не возвращает ошибки, а вместо этого закрывает AJP соединение. В случае если коннектор участвует в балансировке нагрузки mod_jk, то он блокируется примерно на минуту. Это поведение может быть использовано для организации DoS-атаки.

Исправление доступно в новой версии 5.5.28
Comment 1 Repository Robot 2010-03-19 17:59:52 MSK 
tomcat5-0:5.5.27-alt4_7.4jpp5 -> sisyphus:

* Fri Mar 19 2010 Igor Vlasenko <viy@altlinux> 0:5.5.27-alt4_7.4jpp5

- updated to fc 7.4
- CVE-2009-0033, CVE-2009-0580 (closes: 20311, 20314)
- su -s /bin/sh -c instead of su - (closes: #23073)