Alerta de Segurança Debian

DSA-225-1 tomcat4 -- revelação de código

Data do Alerta:
09 Jan 2003
Pacotes Afetados:
tomcat4
Vulnerável:
Sim
Referência à base de dados de segurança:
No dicionário CVE do Mitre: CVE-2002-1394.
Informações adicionais:

Uma vulnerabilidade foi confirmada no Apache Tomcat, releases 4.0.x, que permite o uso de uma URL especialmente alterada para retornar o fonte não processado de uma página JSP, ou, sobre circunstâncias especiais, um recurso estático que foi protegido por uma restrição de segurança, sem a necessidade de se autenticar. Isto é baseado em uma variante do exploit que foi identificado em CAN-2002-1148.

Para a atual distribuição estável (woody), este problema foi corrigido na versão 4.0.3-3woody2.

A antiga distribuição estável (potato), não contém pacotes tomcat.

Para a distribuição instável (sid), este problema não existe na atual versão 4.1.16-1.

Nós recomendamos que você atualize seus pacotes tomcat.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.