Debianin tietoturvatiedote

DSA-246-1 tomcat -- tietojen paljastuminen, ristiinlinkittävä komentosarja

Ilmoitettu:
29. 1.2003
Vaikutuksen alaiset paketit:
tomcat
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Mitren CVE-sanakirjassa: CVE-2003-0042, CVE-2003-0043, CVE-2003-0044.
Lisätietoa:

Tomcatin kehittäjät havaitsivat tomcatin versiossa 3.x useita ongelmia. The Common Vulnerabilities and Exposures-projekti tunnisti seuraavat ongelmat:

  • CAN-2003-0042: Hakemistolistauksen palauttaminen on mahdollista pahantahtoisesti muotoillun pyynnön kautta, vaikka index.html, index.jsp tai muu vastaava tiedosto olisikin olemassa. Myös tiedoston sisällön palauttaminen on mahdollista.
  • CAN-2003-0043: Pahantahtoisen www-sovelluksen avulla on mahdollista lukea www-sovelluksen ulkopuolisten tiedostojen sisältöä sen web.xml-tiedoston kautta, huolimatta mahdollisista tietoturvamanagereista. XML-dokumentin osana olevien tiedostojen sisältöön käsiksi pääsy on mahdollista.
  • CAN-2003-0044: Ristiinlinkittävän komentosarjan mahdollistava haavoittuvuus havaittiin mukana tulevasta www-sovellusmallista. Etähyökkääjien on mahdollista suorittaa mielivaltaisia skriptejä tätä kautta.

Ongelma on korjattu vakaan jakelun (woody) versiossa 3.3a-4woody.1 .

Aiempi vakaa jakelu (potato) ei sisällä tomcat-paketteja.

Ongelma on korjattu epävakaan jakelun (sid) versiossa 3.3.1a-1 .

Suosittelemme päivittämään tomcat-paketin.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
Intel IA-32:
http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.