Debian セキュリティ勧告
DSA-114-1 gnujsp -- 不正なファイルアクセス
- 報告日時:
- 2002-02-21
- 影響を受けるパッケージ:
- gnujsp
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2002-0300.
- 詳細:
-
Thomas Springer さんが GNUJSP にセキュリティ上の弱点を見つけました。 GNUJSP は HTML ファイル中に Java ソースコードを挿入するための Java servlet です。 この問題はウェブサーバでのアクセス制限をバイパスするのに使うことができます。 すなわち、攻撃者は HTML の出力をただ受信するのではなく、直接ディレクトリの内容を見たり、ファイルのダウンロードを行うことが可能になります。 これは、スクリプトのソースコードが漏洩してしまうことも意味します。
この問題は GNUJSP の Debian パッケージのメンテナである Stefan Gybas さんによって修正されています。修正されたバージョンは安定版 (stable) の Debian GNU/Linux では 1.0.0-5 です。
テスト版 (testing) / 不安定版 (unstable) のバージョンは安定版と同じものですので、こちらも脆弱性を持ちます。 これらの版のシステムに対しては、本勧告で記載の修正版をインストールすることで問題を修正可能です。 また、このパッケージはアーキテクチャに依存しません。
gnujsp パッケージを直ぐにアップグレードすることを勧めます。
- 修正:
-
Debian GNU/Linux 2.2 (potato)
- ソース:
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0.orig.tar.gz
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.diff.gz
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/dists/stable/updates/contrib/binary-all/gnujsp_1.0.0-5_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。