Thomas Springer a trouvé une vulnérabilité dans GNUJSP, une servlet Java qui permet d'insérer du code source Java dans un fichier HTML. Ce problème peut être utilisé pour contourner les restrictions d'accès d'un serveur web. Un assaillant peut alors voir le contenu des répertoires et télécharger les fichiers directement plutôt que de recevoir leur sortie HTML. Ce qui signifie que le code source des scripts peut aussi être obtenu.
Le problème a été corrigé par Stefan Gybas qui maintient le paquet Debian de GNUJSP. Il a été corrigé dans la version 1.0.0-5 de la distribution stable de Debian GNU/Linux.
Les versions des distributions testing et unstable sont les mêmes que celle de la distribution stable, aussi elles sont également vulnérables. Vous pouvez installer la version corrigée que cet avertissement référence sur ces systèmes pour résoudre le problème puisqu'il est indépendant de l'architecture.
Nous vous recommandons de mettre à jour votre paquet gnujsp immédiatement.
Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.