Debians sikkerhedsbulletin

DSA-225-1 tomcat4 -- kildekodeafsløring

Rapporteret den:

9. jan 2003

Berørte pakker:

tomcat4

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2002-1394.

Yderligere oplysninger:

Eksistensen af en sikkerhedssårbarhed er blevet bekræftet i Apache Tomcat 4.0.x-udgaven, som gør det muligt at anvende en specielt fremstillet URL til at returnere den ubehandlede kildekode fra en JSP-side, eller under specielle omstændigheder, en statisk ressource som ellers ville have været beskyttet af en sikkerhedsbegrænsning, uden det er nødvendigt at blive autentificeret. Dette er baseret på en variation af udnyttelsen som blev identificeret som CAN-2002-1148.

I den aktuelle stabile distribution (woody) er dette problem rettet i version 4.0.3-3woody2.

Den gamle stabile distribution (potato) indeholder ikke tomcat-pakker.

Problemet er ikke til stede i den ustabile distributions (sid) aktuelle version 4.1.16-1 af pakken.

Vi anbefaler at du opgraderer dine tomcat-pakker.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.