Alerta de Segurança Debian
DSA-114-1 gnujsp -- acesso não autorizado a arquivos
- Data do Alerta:
- 21 Fev 2002
- Pacotes Afetados:
- gnujsp
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- No dicionário CVE do Mitre: CVE-2002-0300.
- Informações adicionais:
-
Thomas Springer encontrou uma vulnerabilidade no GNUJSP, um servlet Java que permite que você insira código Java em arquivos HTML. O problema pode ser usado para driblar restrições de acesso no servidor web. Um atacante pode visualizar o conteúdo dos diretórios e baixar arquivos diretamente, principalmente ao receber suas saídas HTML. Isso significa que o código dos scripts também pode ser revelado.
O problema foi corrigido por Stefan Gybas, que mantém o pacote Debian do GNUJSP. Isto foi corrigido na versão 1.0.0-5 para a versão estável do Debian GNU/Linux.
As versões da testing e unstable são as mesmas que a da distribuição estável, então também estão vulneráveis. Para resolver o problema, você pode instalar nestes sistemas a versão corrigida a qual este alerta se refere, uma vez que o pacote é independente de arquitetura.
Nós recomendamos que você atualize seu pacote gnujsp imediatamente.
- Corrigido em:
-
Debian GNU/Linux 2.2 (potato)
- Fonte:
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0.orig.tar.gz
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.diff.gz
- http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
- Componente independente de arquitetura:
- http://security.debian.org/dists/stable/updates/contrib/binary-all/gnujsp_1.0.0-5_all.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.