Alerta de Segurança Debian
DSA-246-1 tomcat -- exposição de informação, cross site scripting
- Data do Alerta:
- 29 Jan 2003
- Pacotes Afetados:
- tomcat
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- No dicionário CVE do Mitre: CVE-2003-0042, CVE-2003-0043, CVE-2003-0044.
- Informações adicionais:
-
Os desenvolvedores do tomcat descobriram vários problemas na versão 3.x do tomcat. O projeto Vulnerabilidades Comuns e Exposições identificou os seguintes problemas:
- CAN-2003-0042: Uma requisição maliciosa cuidadosamente preparada pode retornar uma lista de diretórios, mesmo quando um arquivo index.html, index.jsp, ou outro arquivo desse tipo estiver presente. O conteúdo dos arquivos podem ser retornados também.
- CAN-2003-0043: Uma aplicação web maliciosa pode ler o conteúdo de alguns arquivos fora da aplicação web via seu arquivo web.xml apesar da presença de um gerenciador de segurança. O conteúdo dos arquivos que podem ser lidos como parte de um documento XML podem estar acessíveis.
- CAN-2003-0044: Uma vulnerabilidade de cross-site scripting foi descoberta na aplicação web de exemplo incluída que permite que atacantes remotos executem códigos de script arbitrários.
Para a distribuição estável (woody) esse problema foi corrigido na versão 3.3a-4woody.1.
A antiga distribuição estável (potato) não contém os pacotes do tomcat.
Para a distribuição instável (sid) esse problema foi corrigido na versão 3.3.1a-1.
Nós recomendamos que você atualize seu pacote tomcat.
- Corrigido em:
-
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.