Aviso de seguridad de Debian
DSA-246-1 tomcat -- exposición de información, scripts a través del sitio
- Fecha del informe:
- 29 de ene de 2003
- Paquetes afectados:
- tomcat
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2003-0042, CVE-2003-0043, CVE-2003-0044.
- Información adicional:
-
Los desarrolladores de tomcat descubrieron varios problemas en la versión 3.x. El proyecto Vulnerabilidades y Exposiciones Comunes (CVE) identificó los siguientes problemas:
- CAN-2003-0042: Una petición malvadamente modificada podía devolver un listado del directorio aunque estuvieran presentes los archivos index.html, index.jsp u otro archivo de bienvenida. También podía devolver los contenidos del archivo.
- CAN-2003-0043: Una aplicación web malvada podía leer los contenidos de varios archivos exteriores a la aplicación web vía su archivo web.xml a pesar de la presencia de un gestor de seguridad. El contenido de los archivos que se podían leer como parte de un documento XML serían accesibles.
- CAN-2003-0044: Se descubrió una vulnerabilidad de scripts a través del sitio en la aplicación web de ejemplo que permitía a los atacantes remotos ejecutar código de script arbitrario.
Para la distribución estable (woody), este problema se ha corregido en la versión 3.3a-4woody.1.
La distribución estable anterior (potato) no contenía los paquetes de tomcat.
Para la distribución inestable (sid), este problema se ha corregido en la versión 3.3.1a-1.
Le recomendamos que actualice el paquete tomcat.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.