Alerta de Segurança Debian

DSA-246-1 tomcat -- exposição de informação, cross site scripting

Data do Alerta:
29 Jan 2003
Pacotes Afetados:
tomcat
Vulnerável:
Sim
Referência à base de dados de segurança:
No dicionário CVE do Mitre: CVE-2003-0042, CVE-2003-0043, CVE-2003-0044.
Informações adicionais:

Os desenvolvedores do tomcat descobriram vários problemas na versão 3.x do tomcat. O projeto Vulnerabilidades Comuns e Exposições identificou os seguintes problemas:

  • CAN-2003-0042: Uma requisição maliciosa cuidadosamente preparada pode retornar uma lista de diretórios, mesmo quando um arquivo index.html, index.jsp, ou outro arquivo desse tipo estiver presente. O conteúdo dos arquivos podem ser retornados também.
  • CAN-2003-0043: Uma aplicação web maliciosa pode ler o conteúdo de alguns arquivos fora da aplicação web via seu arquivo web.xml apesar da presença de um gerenciador de segurança. O conteúdo dos arquivos que podem ser lidos como parte de um documento XML podem estar acessíveis.
  • CAN-2003-0044: Uma vulnerabilidade de cross-site scripting foi descoberta na aplicação web de exemplo incluída que permite que atacantes remotos executem códigos de script arbitrários.

Para a distribuição estável (woody) esse problema foi corrigido na versão 3.3a-4woody.1.

A antiga distribuição estável (potato) não contém os pacotes do tomcat.

Para a distribuição instável (sid) esse problema foi corrigido na versão 3.3.1a-1.

Nós recomendamos que você atualize seu pacote tomcat.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
Intel IA-32:
http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.