Рекомендация Debian по безопасности

DSA-225-1 tomcat4 -- открытие исходного текста

Дата сообщения:

09.01.2003

Затронутые пакеты:

tomcat4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2002-1394.

Более подробная информация:

Подтверждено наличие уязвимого места в выпусках Apache Tomcat версий 4.0.x, позволяющего использовать особым образом составленный URL для того, чтобы получить, не имея соответствующих привилегий, необработанный исходный текст страницы JSP, или, при особых условиях, статический ресурс, который в противном случае должен быть защищён системой безопасности. Атака основана на вариации метода, идентифицированного в CAN-2002-1148.

В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 4.0.3-3woody2.

Старый стабильный дистрибутив (potato) не содержит пакетов tomcat.

В нестабильном дистрибутиве (sid), в пакетах tomcat версии 4.1.16-1, эта проблема отсутствует.

Мы рекомендуем вам обновить пакеты tomcat.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.