Alerta de Segurança Debian

DSA-114-1 gnujsp -- acesso não autorizado a arquivos

Data do Alerta:
21 Fev 2002
Pacotes Afetados:
gnujsp
Vulnerável:
Sim
Referência à base de dados de segurança:
No dicionário CVE do Mitre: CVE-2002-0300.
Informações adicionais:

Thomas Springer encontrou uma vulnerabilidade no GNUJSP, um servlet Java que permite que você insira código Java em arquivos HTML. O problema pode ser usado para driblar restrições de acesso no servidor web. Um atacante pode visualizar o conteúdo dos diretórios e baixar arquivos diretamente, principalmente ao receber suas saídas HTML. Isso significa que o código dos scripts também pode ser revelado.

O problema foi corrigido por Stefan Gybas, que mantém o pacote Debian do GNUJSP. Isto foi corrigido na versão 1.0.0-5 para a versão estável do Debian GNU/Linux.

As versões da testing e unstable são as mesmas que a da distribuição estável, então também estão vulneráveis. Para resolver o problema, você pode instalar nestes sistemas a versão corrigida a qual este alerta se refere, uma vez que o pacote é independente de arquitetura.

Nós recomendamos que você atualize seu pacote gnujsp imediatamente.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0.orig.tar.gz
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.diff.gz
Componente independente de arquitetura:
http://security.debian.org/dists/stable/updates/contrib/binary-all/gnujsp_1.0.0-5_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.