Aviso de seguridad de Debian

DSA-246-1 tomcat -- exposición de información, scripts a través del sitio

Fecha del informe:
29 de ene de 2003
Paquetes afectados:
tomcat
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2003-0042, CVE-2003-0043, CVE-2003-0044.
Información adicional:

Los desarrolladores de tomcat descubrieron varios problemas en la versión 3.x. El proyecto Vulnerabilidades y Exposiciones Comunes (CVE) identificó los siguientes problemas:

  • CAN-2003-0042: Una petición malvadamente modificada podía devolver un listado del directorio aunque estuvieran presentes los archivos index.html, index.jsp u otro archivo de bienvenida. También podía devolver los contenidos del archivo.
  • CAN-2003-0043: Una aplicación web malvada podía leer los contenidos de varios archivos exteriores a la aplicación web vía su archivo web.xml a pesar de la presencia de un gestor de seguridad. El contenido de los archivos que se podían leer como parte de un documento XML serían accesibles.
  • CAN-2003-0044: Se descubrió una vulnerabilidad de scripts a través del sitio en la aplicación web de ejemplo que permitía a los atacantes remotos ejecutar código de script arbitrario.

Para la distribución estable (woody), este problema se ha corregido en la versión 3.3a-4woody.1.

La distribución estable anterior (potato) no contenía los paquetes de tomcat.

Para la distribución inestable (sid), este problema se ha corregido en la versión 3.3.1a-1.

Le recomendamos que actualice el paquete tomcat.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
Intel IA-32:
http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.