Aviso de seguridad de Debian

DSA-114-1 gnujsp -- acceso a archivo no autorizado

Fecha del informe:
21 de feb de 2002
Paquetes afectados:
gnujsp
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2002-0300.
Información adicional:

Thomas Springer encontró una vulnerabilidad en GNUJSP, un sevlet de Java que le permite insertar código fuente Java en sus archivos HTML. El problema se puede usar para saltarse las restricciones de acceso del servidor web. Un atacante puede ver los contendiso de los directorios y descargar archivos directamente en lugar de recibir su salida HTML. Esto significa que el código fuente de los scripts también puede ser revelado.

El problema lo arregló Stefan Gybas, quien mantiene el paquete de Debian GNUJSP. Está arreglado en la versión 1.0.0-5 para la versión estable de Debian GNU/Linux.

Las versiones testing e inestable son las mismas que la estable, así que también tienen esta vulnerabilidad. Debe instalar la versión arreglada a la que se refiere este aviso en estos sistema para resolver el problema, ya que este paquete es independiente de la arquitectura.

Recomendamos que actualice su paquete gnujsp inmediatamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0.orig.tar.gz
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.diff.gz
Componentes independientes de la arquitectura:
http://security.debian.org/dists/stable/updates/contrib/binary-all/gnujsp_1.0.0-5_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.