Debians sikkerhedsbulletin
DSA-170-1 tomcat4 -- afsløring af kildekode
- Rapporteret den:
- 4. okt 2002
- Berørte pakker:
- tomcat4
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5786.
I Mitres CVE-ordbog: CVE-2002-1148. - Yderligere oplysninger:
-
En sikkerhedssårbarhed er blevet opdaget i alle Tomcat 4.x-udgaver. Problemet tillader en angriber at bruge en specielt fremstillet URL til at returnere den ubehandlede kildekode fra en JSP-side, eller under særlige omstændigheder, en statisk ressource som ellers ville have været beskyttet af sikkerhedsbegrænsninger, uden at det er nødvendigt at være autentificeret på korrekt vis.
Problemet er rettet i version 4.0.3-3woody1 i den aktuelle stabile distribution (woody) og i version 4.1.12-1 i den ustabile udgave (sid). Den gamle udgave (potato) indeholder ikke tomcat-pakker. tomcat3-pakkerne er desuden ikke sårbare overfor dette problem.
Vi anbefaler at du omgående opgraderer din tomcat-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.