Bulletin d'alerte Debian

DSA-114-1 gnujsp -- Accès non autorisé à des fichiers

Date du rapport :
21 février 2002
Paquets concernés :
gnujsp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2002-0300.
Plus de précisions :

Thomas Springer a trouvé une vulnérabilité dans GNUJSP, une servlet Java qui permet d'insérer du code source Java dans un fichier HTML. Ce problème peut être utilisé pour contourner les restrictions d'accès d'un serveur web. Un assaillant peut alors voir le contenu des répertoires et télécharger les fichiers directement plutôt que de recevoir leur sortie HTML. Ce qui signifie que le code source des scripts peut aussi être obtenu.

Le problème a été corrigé par Stefan Gybas qui maintient le paquet Debian de GNUJSP. Il a été corrigé dans la version 1.0.0-5 de la distribution stable de Debian GNU/Linux.

Les versions des distributions testing et unstable sont les mêmes que celle de la distribution stable, aussi elles sont également vulnérables. Vous pouvez installer la version corrigée que cet avertissement référence sur ces systèmes pour résoudre le problème puisqu'il est indépendant de l'architecture.

Nous vous recommandons de mettre à jour votre paquet gnujsp immédiatement.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0.orig.tar.gz
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/dists/stable/updates/contrib/binary-all/gnujsp_1.0.0-5_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.