Bulletin d'alerte Debian

DSA-225-1 tomcat4 -- Affichage du code source

Date du rapport:

9 janvier 2003

Paquets concernés:

tomcat4

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2002-1394.

Pour plus d'information:

Il a été confirmé qu'il existait une faille de sécurité dans les versions 4.0.x d'Apache Tomcat. À l'aide d'une URL conçue à dessein, Cette faille permet d'obtenir, sans avoir eu à s'authentifier, la source d'une page JSP, ou, dans certains cas, une ressource statique qui devrait théoriquement être protégée par une barrière de sécurité. Cette faille est une variante de l'exploitation qui a été identifiée sous la référence : CAN-2002-1148.

Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 4.0.3-3woody2.

L'ancienne distribution stable (Potato) ne contient pas de paquets tomcat.

Pour la distribution instable (Sid), ce problème n'existe pas pour l'actuelle version 4.1.16-1.

Nous vous recommandons de mettre à jour vos paquets tomcat.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.