Debianin tietoturvatiedote

DSA-225-1 tomcat4 -- lähteen paljastuminen

Ilmoitettu:

9. 1.2003

Vaikutuksen alaiset paketit:

tomcat4

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Mitren CVE-sanakirjassa: CVE-2002-1394.

Lisätietoa:

Apachen Tomcat 4.0.x-versioista on vahvistettu löytyneen tietoturva-aukko, jonka kautta on mahdollista palauttaa, ilman kunnollista käyttäjätunnistusta, tietyllä tavalla muotoillun URL-osoitteen avulla JSP-sivun suorittamatonta koodia, tai, tietyissä olosuhteissa, staattisia resursseja jotka muutoin olisivat suojattuja turvakeinoin. Tämä on muunnos aiemmin tunnistetusta CAN-2002-1148 -raportissa mainitusta hyväksikäytöstä.

Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 4.0.3-3woody2 .

Aiempi vakaa jakelu (potato) ei sisällä tomcat-paketteja.

Epävakaan jakelun (sid) nykyinen versio 4.1.16-1 ei ole altis tälle ongelmalle.

Suosittelemme päivittämään tomcat-paketit.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.