Tomcat-utvecklarna upptäckte flera problem i tomcat version 3.x.
Projektet Common Vulnerabilities and Exposures
identifierar följande problem:
-
CAN-2003-0042
Ett illvilligt specialskrivet anrop kan returnera en kataloglista även om en
index.html, index.jsp eller annan välkomstfil finns.
Filinnehåll kunde också returneras.
-
CAN-2003-0043:
En illvillig webbtillämpning kunde läsa innehållet i vissa filer utanför
webbtillämpning genom sin web.xml-fil trots att det fanns en
säkerhetsövervakare.
Det innehåll i filen som kunde läsas som en del av ett XML-dokument skulle
vara tillgängligt.
-
CAN-2003-0044:
En serveröverskridande skriptsårbarhet upptäcktes i det medföljande
webbexempelprogrammet som gör det möjligt för angripare utifrån att exekvera
godtycklig skriptkod.
För den stabila utgåvan (Woody) har detta problem rättats i version
3.3a-4woody.1.
Den gamla stabila utgåvan (Potato) innehåller inte några tomcat-paket.
För den instabila utgåvan (Sid) har detta problem rättats i version 3.3.1a-1.
Vi rekommenderar att ni uppgraderar ert tomcat-paket.
