Debianin tietoturvatiedote

DSA-246-1 tomcat -- tietojen paljastuminen, ristiinlinkittävä komentosarja

Ilmoitettu:

29. 1.2003

Vaikutuksen alaiset paketit:

tomcat

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Mitren CVE-sanakirjassa: CVE-2003-0042, CVE-2003-0043, CVE-2003-0044.

Lisätietoa:

Tomcatin kehittäjät havaitsivat tomcatin versiossa 3.x useita ongelmia. The Common Vulnerabilities and Exposures-projekti tunnisti seuraavat ongelmat:

CAN-2003-0042: Hakemistolistauksen palauttaminen on mahdollista pahantahtoisesti muotoillun pyynnön kautta, vaikka index.html, index.jsp tai muu vastaava tiedosto olisikin olemassa. Myös tiedoston sisällön palauttaminen on mahdollista.
CAN-2003-0043: Pahantahtoisen www-sovelluksen avulla on mahdollista lukea www-sovelluksen ulkopuolisten tiedostojen sisältöä sen web.xml-tiedoston kautta, huolimatta mahdollisista tietoturvamanagereista. XML-dokumentin osana olevien tiedostojen sisältöön käsiksi pääsy on mahdollista.
CAN-2003-0044: Ristiinlinkittävän komentosarjan mahdollistava haavoittuvuus havaittiin mukana tulevasta www-sovellusmallista. Etähyökkääjien on mahdollista suorittaa mielivaltaisia skriptejä tätä kautta.

Ongelma on korjattu vakaan jakelun (woody) versiossa 3.3a-4woody.1 .

Aiempi vakaa jakelu (potato) ei sisällä tomcat-paketteja.

Ongelma on korjattu epävakaan jakelun (sid) versiossa 3.3.1a-1 .

Suosittelemme päivittämään tomcat-paketin.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
Intel IA-32:: http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.