Alert GCSA-21025 - Vulnerabilita' in Apache Tomcat

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

******************************************************************

alert ID: GCSA-21025
data: 04 marzo 2021
titolo: Vulnerabilita' in Apache Tomcat

******************************************************************

:: Descrizione del problema

Sono state rilasciate nuove versioni del server web Apache Tomcat.
Con queste versioni vengono risolte tre vulnerabilita', una delle quali
e' stata pubblicata nel maggio 2020 ma non era stata completamente
corretta.


:: Software interessato

Apache Tomcat dalla versione 10.0.0-M1 alla 10.0.0
Apache Tomcat dalla versione 9.0.0.M1 alla 9.0.41
Apache Tomcat dalla versione 8.5.0 alla 8.5.61
Apache Tomcat dalla versione 7.0.0 alla 7.0.107


:: Impatto

Esecuzione remota di codice arbitrario (RCE)
Accesso a dati riservati (ID)


:: Soluzioni

Aggiornare alle versioni piu' recenti

Apache Tomcat 10.0.2 o successivi
Apache Tomcat 9.0.43 o successivi
Apache Tomcat 8.5.63 o successivi
Apache Tomcat 7.0.108 o successivi

https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-8.html
https://tomcat.apache.org/security-7.html


:: Riferimenti

Apache.org
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/rfe62fbf9d4c314f166fe8c668e50e5d9dd882a99447f26f0367474bf%40%3Cannounce.tomcat.apache.org%3E
https://www.mail-archive.com/users@tomcat.apache.org/msg137185.html
https://www.mail-archive.com/users@tomcat.apache.org/msg137186.html

JPCERT CC - Alert Regarding Vulnerability in Apache Tomcat
https://www.jpcert.or.jp/english/at/2020/at200024.html

Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25329
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25122
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9484


GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----

iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYECmnAAKCRDBnEyTZRJg
QjmhAJwPt0Eh1cxWqGvtAGQfplN0p9nyeACfbuMwZTyXqByYRM9QglPbpLaUjqE=
=TTcw
-----END PGP SIGNATURE-----