Thomas Springer hittade en sårbarhet i GNUJSP, ett Java-serverminiprogram (”servlet”) som gör det möjligt att lägga in Javakällkod i HTML-filer. Problemet kan användas för att gå runt åtkomstbegränsningar på webbservern. En angripare kan visa innehåll i kataloger och hämta filer direkt istället för att ta emot deras HTML-utdata. Detta innebär att källkod för skript också kan avslöjas.
Problemet rättades av Stefan Gybas som underhåller Debianpaket för GNUJSP. Det är rättat i version 1.0.0-5 för den stabila utgåvan av Debian GNU/Linux.
Versionerna i uttestnings- och den instabila utgåvan är samma som i den stabila, så även de är sårbara. Du kan installera den rättade versionen som refereras i denna bulletin på dessa system för att lösa problemet eftersom detta paket är arkitekturoberoende.
Vi rekommenderar att ni uppgraderar era gnujsp-paket omedelbart.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.