Thomas Springer さんが GNUJSP にセキュリティ上の弱点を見つけました。 GNUJSP は HTML ファイル中に Java ソースコードを挿入するための Java servlet です。 この問題はウェブサーバでのアクセス制限をバイパスするのに使うことができます。 すなわち、攻撃者は HTML の出力をただ受信するのではなく、直接ディレクトリの内容を見たり、ファイルのダウンロードを行うことが可能になります。 これは、スクリプトのソースコードが漏洩してしまうことも意味します。
この問題は GNUJSP の Debian パッケージのメンテナである Stefan Gybas さんによって修正されています。修正されたバージョンは安定版 (stable) の Debian GNU/Linux では 1.0.0-5 です。
テスト版 (testing) / 不安定版 (unstable) のバージョンは安定版と同じものですので、こちらも脆弱性を持ちます。 これらの版のシステムに対しては、本勧告で記載の修正版をインストールすることで問題を修正可能です。 また、このパッケージはアーキテクチャに依存しません。
gnujsp パッケージを直ぐにアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。