Tomcatin kehittäjät havaitsivat tomcatin versiossa 3.x useita ongelmia.
The Common Vulnerabilities and Exposures-projekti tunnisti seuraavat ongelmat:
- CAN-2003-0042: Hakemistolistauksen palauttaminen on mahdollista
pahantahtoisesti muotoillun pyynnön kautta, vaikka index.html, index.jsp
tai muu vastaava tiedosto olisikin olemassa. Myös tiedoston sisällön
palauttaminen on mahdollista.
- CAN-2003-0043: Pahantahtoisen www-sovelluksen avulla on mahdollista
lukea www-sovelluksen ulkopuolisten tiedostojen sisältöä sen
web.xml-tiedoston kautta, huolimatta mahdollisista tietoturvamanagereista.
XML-dokumentin osana olevien tiedostojen sisältöön käsiksi pääsy on
mahdollista.
- CAN-2003-0044: Ristiinlinkittävän komentosarjan mahdollistava
haavoittuvuus havaittiin mukana tulevasta www-sovellusmallista.
Etähyökkääjien on mahdollista suorittaa mielivaltaisia skriptejä
tätä kautta.
Ongelma on korjattu vakaan jakelun (woody) versiossa 3.3a-4woody.1 .
Aiempi vakaa jakelu (potato) ei sisällä tomcat-paketteja.
Ongelma on korjattu epävakaan jakelun (sid) versiossa 3.3.1a-1 .
Suosittelemme päivittämään tomcat-paketin.
