Apache bessert Fehler in Tomcat aus

Eingaben in die Funktion HttpServletResponse.sendError() überprüft die Software nicht ausreichend, bevor diese an den Anwender zurückgegeben werden. Dadurch lässt sich unter Umständen beliebiger HTML- und Script-Code in der Browser-Sitzung eines Anwenders ausführen. Ein zweiter Fehler erlaubt unter Umständen den Zugriff auf nicht erlaubte Dateien via so genannter „Directory Traversal“-Angriffe.

Die Sicherheitslücken sind bestätigt für die Versionen 4.1.0 bis 4.1.37, 5.5.0 bis 5.5.26 und 6.0.0 bis 6.0.16. Anwender der Variante 6.x sollten Version 6.0.18 einspielen. Bei den Varianten 5.x und 4.x ist der Fehler im SVN-Repository bereits ausgebessert. (jdo)