Debian-Sicherheitsankündigung

DSA-225-1 tomcat4 -- Quellcode-Enthüllung

Datum des Berichts:

09. Jan 2003

Betroffene Pakete:

tomcat4

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2002-1394.

Weitere Informationen:

Es wurde bestätigt, dass eine Sicherheits-Verwundbarkeit in Apache Tomcat 4.0.x Releases existiert, die es unter Verwendung einer speziell erstellten URL erlaubt, nicht-ausgeführten Quellcode einer JSP-Seite zurückzuliefern, oder, unter speziellen Umständen, eine statische Ressource zurückliefert, die auf der anderen Seite von einer Sicherheitsbedingung geschützt sein würde, ohne dass man sich ordentlich anmelden muss. Dies basiert auf einer Variante der Ausnutzung, die als CAN-2002-1148 identifiziert wurde.

Für die aktuelle stable Distribution (Woody) wurde dieses Problem in Version 4.0.3-3woody2 behoben.

Die alte stable Distribution (Potato) enthält keine tomcat-Pakete.

In der unstable Distribution (Sid) existiert dieses Problem nicht in der aktuellen Version 4.1.16-1.

Wir empfehlen Ihnen, Ihre tomcat-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.