Рекомендация Debian по безопасности

DSA-225-1 tomcat4 -- открытие исходного текста

Дата сообщения:
09.01.2003
Затронутые пакеты:
tomcat4
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2002-1394.
Более подробная информация:

Подтверждено наличие уязвимого места в выпусках Apache Tomcat версий 4.0.x, позволяющего использовать особым образом составленный URL для того, чтобы получить, не имея соответствующих привилегий, необработанный исходный текст страницы JSP, или, при особых условиях, статический ресурс, который в противном случае должен быть защищён системой безопасности. Атака основана на вариации метода, идентифицированного в CAN-2002-1148.

В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 4.0.3-3woody2.

Старый стабильный дистрибутив (potato) не содержит пакетов tomcat.

В нестабильном дистрибутиве (sid), в пакетах tomcat версии 4.1.16-1, эта проблема отсутствует.

Мы рекомендуем вам обновить пакеты tomcat.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.