Debians sikkerhedsbulletin
DSA-246-1 tomcat -- informationsafsløring, udførelse af scripts på tværs af websteder
- Rapporteret den:
- 29. jan 2003
- Berørte pakker:
- tomcat
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2003-0042, CVE-2003-0043, CVE-2003-0044.
- Yderligere oplysninger:
-
Udviklerne af tomcat har opdaget flere problemer i tomcat version 3.x. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CAN-2003-0042: En ondsindet fremstillet forespørgsel kunne returnere en mappeliste, også selvom index.html, index.jsp eller andre velkomstfiler fandtes. Filindhold kunne også returneres.
- CAN-2003-0043: En ondsindet webapplikation kunne læse indholdet af nogle filer udenfor webapplikationen via dens web.xml-fil, på trods af at der var en sikkerhedsmanager. Indholdet af filer som kan læses som en del af et XML-dokument, ville være tilgængeligt.
- CAN-2003-0044: En sårbarhed i forbindelse med udførelse af scripts på tværs af websteder (cross-site scripting) er opdaget i det medfølgende eksempel på en webapplikation, sårbarheden giver en fjernangribere mulighed for at udføre vilkårlig scriptkode.
I den stabile distribution (woody) er dette problem rettet i version 3.3a-4woody.1.
Den gamle stabile distribution (potato) indeholder ikke tomcat-pakker.
I den ustabile distribution (sid) er dette problem rettet i version 3.3.1a-1.
Vi anbefaler at du opgraderer din tomcat-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.