Alerta de Segurança Debian

DSA-225-1 tomcat4 -- revelação de código

Data do Alerta:

09 Jan 2003

Pacotes Afetados:

tomcat4

Vulnerável:

Sim

Referência à base de dados de segurança:

No dicionário CVE do Mitre: CVE-2002-1394.

Informações adicionais:

Uma vulnerabilidade foi confirmada no Apache Tomcat, releases 4.0.x, que permite o uso de uma URL especialmente alterada para retornar o fonte não processado de uma página JSP, ou, sobre circunstâncias especiais, um recurso estático que foi protegido por uma restrição de segurança, sem a necessidade de se autenticar. Isto é baseado em uma variante do exploit que foi identificado em CAN-2002-1148.

Para a atual distribuição estável (woody), este problema foi corrigido na versão 4.0.3-3woody2.

A antiga distribuição estável (potato), não contém pacotes tomcat.

Para a distribuição instável (sid), este problema não existe na atual versão 4.1.16-1.

Nós recomendamos que você atualize seus pacotes tomcat.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Componente independente de arquitetura:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.