Thomas Springer har fundet en sårbarhed i GNUJSP, et Java-servlet som gør det muligt at indsætte Java-kildekode i HTML-filer. Problemet kan udnyttes til at omgå adgangsbegræsninger på webserveren. En angriber kan se indholdet af mapper og hente filer direkte, i stedet for at modtage deres HTML-uddata. Dette betyder at scripts kildekode også kan afsløres.
Stefan Gybas, der vedligeholder Debians GNUJSP-pakke, rettede problemet. Det er rettet i version 1.0.0-5 i den stabile udgivelse af Debian GNU/Linux.
Versionerne i 'testing' og 'unstable' er de samme som i 'stable', og er derfor også sårbare. For at løse problemet på disse systemer, kan du installere den rettede version, som dette bulletin refererer til, da pakken er arkitektur-uafhængig.
Vi anbefaler at du omgående opgraderer din gnujsp-pakke.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.