Flere fjernudnytbare sårbarheder er opdaget i Tomcats servlet- og JSP-maskine. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
Olaf Kock opdagede at HTTPS-kryptering blev håndhævet på utilstrækkelig vis hvad angår single-sign-on-cookies, hvilket kunne medføre informationsafsløring.
Man opdagede at webapplikationerne Manager og Host Manager udførte utilstrækkelig fornuftighedskontrol, hvilket kunne føre til udførelse af skripter på tværs af websteder.
Denne opdatering tilpasser også pakken tomcat5.5-webapps til de strammede JULI-rettigheder indført i de tidligere tomcat5.5-DSA'er. Bemærk dog at tomcat5.5-webapps kun er beregnet til demonstrerings- og dokumenteringsformål, og ikke bør anvendes på produktionssystemer.
Den gamle stabile distribution (sarge) indeholder ikke tomcat5.5.
I den stabile distribution (etch), er disse problemer rettet i version 5.5.20-2etch2.
I den ustabile distribution (sid), vil disse problemer snart blive rettet.
Vi anbefaler at du opgraderer dine tomcat5.5-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.