Debian セキュリティ勧告

DSA-225-1 tomcat4 -- ソースの漏曳

報告日時:
2003-01-09
影響を受けるパッケージ:
tomcat4
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2002-1394.
詳細:

Apache Tomcat 4.0.x リリースでセキュリティ上の問題が発見されました。 この問題は、攻撃者が特別に作成された URL を用いることにより、処理されていない JSP ページのソースコードを戻り値として返させることができるというのと、 特定の条件下で、本来セキュリティ制限で守られているはずの静的リソースを、 適切な認証を行わずに同様のやり方で得ることができる、というものです。 この問題は、CAN-2002-1148 で指摘された脆弱性に類似したものです。

現安定版 (stable) (woody) では、これはバージョン 4.0.3-3woody2 で修正されています。

旧安定版 (potato) には tomcat が収録されていないため、 この問題の影響を受けません。

不安定版 (unstable) (sid) では、現在のバージョンである 4.1.16-1 にはこの問題は存在しません。

すぐに tomcat パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。