Aviso de seguridad de Debian

DSA-225-1 tomcat4 -- exposición de los fuentes

Fecha del informe:

9 de ene de 2003

Paquetes afectados:

tomcat4

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2002-1394.

Información adicional:

Se ha confirmado una vulnerabilidad que existía en las versiones de Apache Tomcat 4.0.x, que permitía usar una URL especialmente modificada para devolver los fuentes no procesados de una página JSP, o, bajo ciertas circunstancias, un recurso estático que debería estar protegido por una restricción de seguridad, sin necesidad de estar adecuadamente autentificado. Esto se basa en una variante de la explotación que se identificó en CAN-2002-1148.

Para la distribución estable actual (woody), este problema se ha corregido en la versión 4.0.3-3woody2.

La distribución estable anterior (potato) no contenía los paquetes de tomcat.

Para la distribución inestable (sid), este problema no existía en la versión actual 4.1.16-1.

Le recomendamos que actualice los paquetes de tomcat.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.