Debians sikkerhedsbulletin
DSA-114-1 gnujsp -- uautoriseret adgang til filer
- Rapporteret den:
- 21. feb 2002
- Berørte pakker:
- gnujsp
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2002-0300.
- Yderligere oplysninger:
-
Thomas Springer har fundet en sårbarhed i GNUJSP, et Java-servlet som gør det muligt at indsætte Java-kildekode i HTML-filer. Problemet kan udnyttes til at omgå adgangsbegræsninger på webserveren. En angriber kan se indholdet af mapper og hente filer direkte, i stedet for at modtage deres HTML-uddata. Dette betyder at scripts kildekode også kan afsløres.
Stefan Gybas, der vedligeholder Debians GNUJSP-pakke, rettede problemet. Det er rettet i version 1.0.0-5 i den stabile udgivelse af Debian GNU/Linux.
Versionerne i 'testing' og 'unstable' er de samme som i 'stable', og er derfor også sårbare. For at løse problemet på disse systemer, kan du installere den rettede version, som dette bulletin refererer til, da pakken er arkitektur-uafhængig.
Vi anbefaler at du omgående opgraderer din gnujsp-pakke.
- Rettet i:
-
Debian GNU/Linux 2.2 (potato)
- Kildekode:
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0.orig.tar.gz
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.diff.gz
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
- Arkitekturuafhængig komponent:
- http://security.debian.org/dists/stable/updates/contrib/binary-all/gnujsp_1.0.0-5_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.