Debian セキュリティ勧告

DSA-225-1 tomcat4 -- ソースの漏曳

報告日時:

2003-01-09

影響を受けるパッケージ:

tomcat4

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2002-1394.

詳細:

Apache Tomcat 4.0.x リリースでセキュリティ上の問題が発見されました。この問題は、攻撃者が特別に作成された URL を用いることにより、処理されていない JSP ページのソースコードを戻り値として返させることができるというのと、特定の条件下で、本来セキュリティ制限で守られているはずの静的リソースを、適切な認証を行わずに同様のやり方で得ることができる、というものです。この問題は、CAN-2002-1148 で指摘された脆弱性に類似したものです。

現安定版 (stable) (woody) では、これはバージョン 4.0.3-3woody2 で修正されています。

旧安定版 (potato) には tomcat が収録されていないため、この問題の影響を受けません。

不安定版 (unstable) (sid) では、現在のバージョンである 4.1.16-1 にはこの問題は存在しません。

すぐに tomcat パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。