Debians sikkerhedsbulletin

DSA-114-1 gnujsp -- uautoriseret adgang til filer

Rapporteret den:
21. feb 2002
Berørte pakker:
gnujsp
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2002-0300.
Yderligere oplysninger:

Thomas Springer har fundet en sårbarhed i GNUJSP, et Java-servlet som gør det muligt at indsætte Java-kildekode i HTML-filer. Problemet kan udnyttes til at omgå adgangsbegræsninger på webserveren. En angriber kan se indholdet af mapper og hente filer direkte, i stedet for at modtage deres HTML-uddata. Dette betyder at scripts kildekode også kan afsløres.

Stefan Gybas, der vedligeholder Debians GNUJSP-pakke, rettede problemet. Det er rettet i version 1.0.0-5 i den stabile udgivelse af Debian GNU/Linux.

Versionerne i 'testing' og 'unstable' er de samme som i 'stable', og er derfor også sårbare. For at løse problemet på disse systemer, kan du installere den rettede version, som dette bulletin refererer til, da pakken er arkitektur-uafhængig.

Vi anbefaler at du omgående opgraderer din gnujsp-pakke.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0.orig.tar.gz
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/dists/stable/updates/contrib/binary-all/gnujsp_1.0.0-5_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.