Рекомендация Debian по безопасности

DSA-114-1 gnujsp -- неавторизованный доступ к файлам

Дата сообщения:
21.02.2002
Затронутые пакеты:
gnujsp
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2002-0300.
Более подробная информация:

Томас Шпрингер обнаружил уязвимость в GNUJSP, сервлете Java, который позволяет вставлять исходный код на языке Java в файлы HTML. Проблема может использоваться для обхода ограничений доступа в веб-сервере. Злоумышленник может просмотреть содержимое каталогов и загрузить файлы напрямую, не получая их HTML-вывод. Это означает, что исходный код сценариев будет открыт для злоумышленников.

Эта проблема была исправлена Штефаном Гибасом, который сопровождает Debian-пакет GNUJSP. Проблема была исправлена в версии 1.0.0-5 для стабильного выпуска Debian GNU/Linux.

Версии в тестируемом и нестабильном выпусках совпадают с версией в стабильном выпуске, поэтому они тоже содержат эту уязвимость. Вы можете установить исправленную версию из данной рекомендации для разрешения указанной проблемы, поскольку этот пакет не зависит от архитектуры.

Рекомендуется как можно скорее обновить пакет gnujsp.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0.orig.tar.gz
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.dsc
http://security.debian.org/dists/stable/updates/contrib/source/gnujsp_1.0.0-5.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/dists/stable/updates/contrib/binary-all/gnujsp_1.0.0-5_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.