Säkerhetsbulletin från Debian

DSA-246-1 tomcat -- informationsexponering, serveröverskridande skriptproblem

Rapporterat den:
2003-01-29
Berörda paket:
tomcat
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2003-0042, CVE-2003-0043, CVE-2003-0044.
Ytterligare information:

Tomcat-utvecklarna upptäckte flera problem i tomcat version 3.x. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CAN-2003-0042 Ett illvilligt specialskrivet anrop kan returnera en kataloglista även om en index.html, index.jsp eller annan välkomstfil finns. Filinnehåll kunde också returneras.
  • CAN-2003-0043: En illvillig webbtillämpning kunde läsa innehållet i vissa filer utanför webbtillämpning genom sin web.xml-fil trots att det fanns en säkerhetsövervakare. Det innehåll i filen som kunde läsas som en del av ett XML-dokument skulle vara tillgängligt.
  • CAN-2003-0044: En serveröverskridande skriptsårbarhet upptäcktes i det medföljande webbexempelprogrammet som gör det möjligt för angripare utifrån att exekvera godtycklig skriptkod.

För den stabila utgåvan (Woody) har detta problem rättats i version 3.3a-4woody.1.

Den gamla stabila utgåvan (Potato) innehåller inte några tomcat-paket.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.3.1a-1.

Vi rekommenderar att ni uppgraderar ert tomcat-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
Intel IA-32:
http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.