Säkerhetsbulletin från Debian

DSA-1468-1 tomcat5.5 -- flera sårbarheter

Rapporterat den:
2008-01-20
Berörda paket:
tomcat5.5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2008-0128, CVE-2007-2450.
Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i miniprograms- och JPS-motorn Tomcat. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2008-0128

    Olaf Kock upptäckte att HTTPS-kryptering inte tillämpades tillräckligt för kakor som används för gemensam inloggning, vilket kunde leda till en informationsläcka.

  • CVE-2007-2450

    Man har upptäckt att webbprogrammen Manager och Host Manager inte utförde tillräcklig städning av indata, vilket kunde leda till serveröverskridande skriptning.

Denna uppdatering anpassas även paketet tomcat5.5-webapps till de inskränkta JULI-behörighet som introducerades i den senaste tomcat5.5-DSA:n. Lägg dock märke till att tomcat5.5-webapps endast är tänkt för demonstration och dokumentation och inte bör användas för produktionssystem.

Den gamla stabila utgåvan (Sarge) innehåller inte tomcat5.5.

För den stabila utgåvan (Etch) har dessa problem rättats i version 5.5.20-2etch2.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era tomcat5.5-paket.

Rättat i:

Debian GNU/Linux 4.0 (stable)

Källkod:
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20.orig.tar.gz
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20-2etch2.diff.gz
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20-2etch2.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5-admin_5.5.20-2etch2_all.deb
http://security.debian.org/pool/updates/main/t/tomcat5.5/libtomcat5.5-java_5.5.20-2etch2_all.deb
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5_5.5.20-2etch2_all.deb
http://security.debian.org/pool/updates/main/t/tomcat5.5/tomcat5.5-webapps_5.5.20-2etch2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.