Debian セキュリティ勧告

DSA-114-1 gnujsp -- 不正なファイルアクセス

報告日時:
2002-02-21
影響を受けるパッケージ:
gnujsp
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2002-0300.
詳細:

Thomas Springer さんが GNUJSP にセキュリティ上の弱点を見つけました。 GNUJSP は HTML ファイル中に Java ソースコードを挿入するための Java servlet です。 この問題はウェブサーバでのアクセス制限をバイパスするのに使うことができます。 すなわち、攻撃者は HTML の出力をただ受信するのではなく、直接ディレクトリの内容を見たり、ファイルのダウンロードを行うことが可能になります。 これは、スクリプトのソースコードが漏洩してしまうことも意味します。

この問題は GNUJSP の Debian パッケージのメンテナである Stefan Gybas さんによって修正されています。修正されたバージョンは安定版 (stable) の Debian GNU/Linux では 1.0.0-5 です。

テスト版 (testing) / 不安定版 (unstable) のバージョンは安定版と同じものですので、こちらも脆弱性を持ちます。 これらの版のシステムに対しては、本勧告で記載の修正版をインストールすることで問題を修正可能です。 また、このパッケージはアーキテクチャに依存しません。

gnujsp パッケージを直ぐにアップグレードすることを勧めます。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0.orig.tar.gz
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.diff.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/dists/stable/updates/contrib/binary-all/gnujsp_1.0.0-5_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。