Säkerhetsbulletin från Debian

DSA-114-1 gnujsp -- oauktoriserad filåtkomst

Rapporterat den:
2002-02-21
Berörda paket:
gnujsp
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2002-0300.
Ytterligare information:

Thomas Springer hittade en sårbarhet i GNUJSP, ett Java-serverminiprogram (”servlet”) som gör det möjligt att lägga in Javakällkod i HTML-filer. Problemet kan användas för att gå runt åtkomstbegränsningar på webbservern. En angripare kan visa innehåll i kataloger och hämta filer direkt istället för att ta emot deras HTML-utdata. Detta innebär att källkod för skript också kan avslöjas.

Problemet rättades av Stefan Gybas som underhåller Debianpaket för GNUJSP. Det är rättat i version 1.0.0-5 för den stabila utgåvan av Debian GNU/Linux.

Versionerna i uttestnings- och den instabila utgåvan är samma som i den stabila, så även de är sårbara. Du kan installera den rättade versionen som refereras i denna bulletin på dessa system för att lösa problemet eftersom detta paket är arkitekturoberoende.

Vi rekommenderar att ni uppgraderar era gnujsp-paket omedelbart.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0.orig.tar.gz
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/dists/stable/updates/contrib/binary-all/gnujsp_1.0.0-5_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.