Debianin tietoturvatiedote
DSA-170-1 tomcat4 -- lähdekoodin paljastuminen
- Ilmoitettu:
- 4.10.2002
- Vaikutuksen alaiset paketit:
- tomcat4
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 5786.
Mitren CVE-sanakirjassa: CVE-2002-1148. - Lisätietoa:
-
Kaikissa Tomcat 4.x-julkaisuissa on havaittu tietoturva-aukko. Tämän aukon kautta hyökkääjän on mahdollista, ilman kunnollista käyttäjätunnistusta, huolella muotoillun URL-osoitteen avulla palauttaa käsittelemättömän JSP-sivun lähdekoodi, tai tietyissä olosuhteissa, jokin staattinen resurssi joka muutoin olisi suojattu jollain turvamenetelmällä.
Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 4.0.3-3woody1 ja epävakaan jakelun (sid) versiossa 4.1.12-1 . Aiempi vakaa jakelu (potato) ei sisällä tomcat-paketteja. Myöskään tomcat3:n paketit eivät ole alttiita tälle haavoittuvuudelle.
Suosittelemme päivittämään tomcat-paketin välittömästi.
- Korjattu:
-
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.