tomcat の開発者たちは、tomcat バージョン 3.x
に複数の問題を発見しました。
The Common Vulnerabilities and Exposures プロジェクトは、
以下の問題を把握しています。
- CAN-2003-0042: 悪意をもって作られたリクエストにより、index.html、
index.jsp などの welcome ファイルが存在する場合にも、ディレクトリリストを
返させることができます。ファイルの内容を返させることも同様に可能です。
- CAN-2003-0043: 悪意あるウェブアプリケーションにより、
セキュリティマネージャが存在する場合でも、そのウェブアプリケーション外の
一部のファイルの内容を web.xml 経由で読むことができます。
XML ドキュメントの一部として読めるファイル内容にアクセスすることが
可能です。
- CAN-2003-0044: 添付のサンプルウェブアプリケースションに、
クロスサイトスクリプティング脆弱性が発見されました。
この問題により、リモートの攻撃者は任意のスクリプトコードを実行
することができます。
現安定版 (stable) (woody) では、これらの問題は
バージョン 3.3a-4woody.1 で修正されています。
旧安定版 (potato) には、tomcat パッケージは含まれていません。
不安定版 (unstable) (sid) では、これらの問題は
バージョン 3.3.1a-1 で修正されています。
tomcat パッケージをアップグレードすることをお勧めします。
