Bulletin d'alerte Debian

DSA-225-1 tomcat4 -- Affichage du code source

Date du rapport :
9 janvier 2003
Paquets concernés :
tomcat4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2002-1394.
Plus de précisions :

Il a été confirmé qu'il existait une faille de sécurité dans les versions 4.0.x d'Apache Tomcat. À l'aide d'une URL conçue à dessein, Cette faille permet d'obtenir, sans avoir eu à s'authentifier, la source d'une page JSP, ou, dans certains cas, une ressource statique qui devrait théoriquement être protégée par une barrière de sécurité. Cette faille est une variante de l'exploitation qui a été identifiée sous la référence : CAN-2002-1148.

Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 4.0.3-3woody2.

L'ancienne distribution stable (Potato) ne contient pas de paquets tomcat.

Pour la distribution instable (Sid), ce problème n'existe pas pour l'actuelle version 4.1.16-1.

Nous vous recommandons de mettre à jour vos paquets tomcat.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.