Debians sikkerhedsbulletin

DSA-225-1 tomcat4 -- kildekodeafsløring

Rapporteret den:
9. jan 2003
Berørte pakker:
tomcat4
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2002-1394.
Yderligere oplysninger:

Eksistensen af en sikkerhedssårbarhed er blevet bekræftet i Apache Tomcat 4.0.x-udgaven, som gør det muligt at anvende en specielt fremstillet URL til at returnere den ubehandlede kildekode fra en JSP-side, eller under specielle omstændigheder, en statisk ressource som ellers ville have været beskyttet af en sikkerhedsbegrænsning, uden det er nødvendigt at blive autentificeret. Dette er baseret på en variation af udnyttelsen som blev identificeret som CAN-2002-1148.

I den aktuelle stabile distribution (woody) er dette problem rettet i version 4.0.3-3woody2.

Den gamle stabile distribution (potato) indeholder ikke tomcat-pakker.

Problemet er ikke til stede i den ustabile distributions (sid) aktuelle version 4.1.16-1 af pakken.

Vi anbefaler at du opgraderer dine tomcat-pakker.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.