Debians sikkerhedsbulletin

DSA-246-1 tomcat -- informationsafsløring, udførelse af scripts på tværs af websteder

Rapporteret den:
29. jan 2003
Berørte pakker:
tomcat
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2003-0042, CVE-2003-0043, CVE-2003-0044.
Yderligere oplysninger:

Udviklerne af tomcat har opdaget flere problemer i tomcat version 3.x. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

  • CAN-2003-0042: En ondsindet fremstillet forespørgsel kunne returnere en mappeliste, også selvom index.html, index.jsp eller andre velkomstfiler fandtes. Filindhold kunne også returneres.
  • CAN-2003-0043: En ondsindet webapplikation kunne læse indholdet af nogle filer udenfor webapplikationen via dens web.xml-fil, på trods af at der var en sikkerhedsmanager. Indholdet af filer som kan læses som en del af et XML-dokument, ville være tilgængeligt.
  • CAN-2003-0044: En sårbarhed i forbindelse med udførelse af scripts på tværs af websteder (cross-site scripting) er opdaget i det medfølgende eksempel på en webapplikation, sårbarheden giver en fjernangribere mulighed for at udføre vilkårlig scriptkode.

I den stabile distribution (woody) er dette problem rettet i version 3.3a-4woody.1.

Den gamle stabile distribution (potato) indeholder ikke tomcat-pakker.

I den ustabile distribution (sid) er dette problem rettet i version 3.3.1a-1.

Vi anbefaler at du opgraderer din tomcat-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
Intel IA-32:
http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.