Debianin tietoturvatiedote

DSA-225-1 tomcat4 -- lähteen paljastuminen

Ilmoitettu:
9. 1.2003
Vaikutuksen alaiset paketit:
tomcat4
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Mitren CVE-sanakirjassa: CVE-2002-1394.
Lisätietoa:

Apachen Tomcat 4.0.x-versioista on vahvistettu löytyneen tietoturva-aukko, jonka kautta on mahdollista palauttaa, ilman kunnollista käyttäjätunnistusta, tietyllä tavalla muotoillun URL-osoitteen avulla JSP-sivun suorittamatonta koodia, tai, tietyissä olosuhteissa, staattisia resursseja jotka muutoin olisivat suojattuja turvakeinoin. Tämä on muunnos aiemmin tunnistetusta CAN-2002-1148 -raportissa mainitusta hyväksikäytöstä.

Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 4.0.3-3woody2 .

Aiempi vakaa jakelu (potato) ei sisällä tomcat-paketteja.

Epävakaan jakelun (sid) nykyinen versio 4.1.16-1 ei ole altis tälle ongelmalle.

Suosittelemme päivittämään tomcat-paketit.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.