Debian-Sicherheitsankündigung

DSA-114-1 gnujsp -- Unberechtigter Datei-Zugriff

Datum des Berichts:
21. Feb 2002
Betroffene Pakete:
gnujsp
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2002-0300.
Weitere Informationen:

Thomas Springer hat eine Verwundbarkeit in GNUJSP gefunden, einem Java-Servlet, das es Ihnen erlaubt, Java-Source-Code in HTML-Dateien einzufügen. Das Problem kann verwendet werden, um Zugriffsbeschränkungen im Web-Server zu umgehen. Ein Angreifer kann den Inhalt von Verzeichnissen anzeigen und Dateien direkt herunterladen, statt deren HTML-Ausgabe zu erhalten. Das bedeutet, dass auch der Quellcode von Skripts enthüllt werden kann.

Das Problem wurde von Stefan Gybas behoben, der das Debian-Paket von GNUJSP betreut. Es ist in Version 1.0.0-5 für das stable Release von Debian GNU/Linux behoben.

Die Versionen in testing und unstable sind die selben wie die in stable, daher sind diese ebenso verwundbar. Sie können die behobene Version, auf die dieses Gutachten verweist, auf diesen Systemen installieren, um das Problem zu beheben, da dieses Paket Architektur-unabhängig ist.

Wir empfehlen Ihnen, dass Sie Ihr gnujsp Paket unverzüglich aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0.orig.tar.gz
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.diff.gz
Architektur-unabhängige Dateien:
http://security.debian.org/dists/stable/updates/contrib/binary-all/gnujsp_1.0.0-5_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.