Säkerhetsbulletin från Debian

DSA-225-1 tomcat4 -- avslöjande av källkod

Rapporterat den:

2003-01-09

Berörda paket:

tomcat4

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2002-1394.

Ytterligare information:

En sårbarhet har bekräftats i 4.0.x-utgåvorna av Apache Tomcat. Problemet gör det möjligt att använda en specialskriven URL för att tillgång till den otolkade källkoden för en JSP-sida, eller, under specifika omständigheter, en statisk resurs som annars skulle skyddas av säkerhetsbegränsningar, utan att behöva autentiseras ordentligt. Detta är baserat på en variant av den sårbarhet som identifierades som CAN-2002-1148.

För den nuvarande stabila utgåvan (Woody) har detta problem rättats i version 4.0.3-3woody2.

Den gamla stabila utgåvan (Potato) innehåller inte något tomcat-paket.

Problemet finns inte i den nuvarande versionen 4.1.16-1 i den instabila utgåvan (Sid).

Vi rekommenderar att ni uppgraderar era tomcat-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody2_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.