Säkerhetsbulletin från Debian

DSA-246-1 tomcat -- informationsexponering, serveröverskridande skriptproblem

Rapporterat den:

2003-01-29

Berörda paket:

tomcat

Sårbara:

Referenser i säkerhetsdatabaser:

Ytterligare information:

Tomcat-utvecklarna upptäckte flera problem i tomcat version 3.x. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CAN-2003-0042 Ett illvilligt specialskrivet anrop kan returnera en kataloglista även om en index.html, index.jsp eller annan välkomstfil finns. Filinnehåll kunde också returneras.
CAN-2003-0043: En illvillig webbtillämpning kunde läsa innehållet i vissa filer utanför webbtillämpning genom sin web.xml-fil trots att det fanns en säkerhetsövervakare. Det innehåll i filen som kunde läsas som en del av ett XML-dokument skulle vara tillgängligt.
CAN-2003-0044: En serveröverskridande skriptsårbarhet upptäcktes i det medföljande webbexempelprogrammet som gör det möjligt för angripare utifrån att exekvera godtycklig skriptkod.

För den stabila utgåvan (Woody) har detta problem rättats i version 3.3a-4woody.1.

Den gamla stabila utgåvan (Potato) innehåller inte några tomcat-paket.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.3.1a-1.

Vi rekommenderar att ni uppgraderar ert tomcat-paket.

Rättat i:

Källkod:: http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
Intel IA-32:: http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.