Udviklerne af tomcat har opdaget flere problemer i tomcat version 3.x.
Projektet Common Vulnerabilities and Exposures har fundet frem til følgende
problemer:
- CAN-2003-0042: En ondsindet fremstillet forespørgsel kunne returnere en
mappeliste, også selvom index.html, index.jsp eller andre velkomstfiler
fandtes. Filindhold kunne også returneres.
- CAN-2003-0043: En ondsindet webapplikation kunne læse indholdet af nogle
filer udenfor webapplikationen via dens web.xml-fil, på trods af at der var
en sikkerhedsmanager. Indholdet af filer som kan læses som en del af et
XML-dokument, ville være tilgængeligt.
- CAN-2003-0044: En sårbarhed i forbindelse med udførelse af scripts på
tværs af websteder (cross-site scripting) er opdaget i det medfølgende
eksempel på en webapplikation, sårbarheden giver en fjernangribere mulighed
for at udføre vilkårlig scriptkode.
I den stabile distribution (woody) er dette problem rettet i version
3.3a-4woody.1.
Den gamle stabile distribution (potato) indeholder ikke tomcat-pakker.
I den ustabile distribution (sid) er dette problem rettet i version
3.3.1a-1.
Vi anbefaler at du opgraderer din tomcat-pakke.
