Bulletin d'alerte Debian

DSA-170-1 tomcat4 -- Faille dans le code source

Date du rapport :
4 octobre 2002
Paquets concernés :
tomcat4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 5786.
Dans le dictionnaire CVE du Mitre : CVE-2002-1148.
Plus de précisions :

Une faille de sécurité a été découverte dans toutes les versions de Tomcat 4.x. Ce problème permet à un assaillant d'utiliser une URL particulière pour visualiser le code source d'une page JSP. Ou, dans certaines conditions, une ressource statique, qui aurait dû être protégée par des contraintes de sécurité, peut être obtenue sans avoir besoin d'être identifié.

Ce problème a été corrigé dans la version 4.0.3-3woody1 pour l'actuelle distribution stable (Woody) et dans la version 4.1.12-1 pour la distribution unstable (Sid). L'ancienne distribution stable (Potato) ne possède pas le paquet tomcat. De plus, les paquets pour tomcat3 ne sont pas vulnérables ce problème.

Nous vous recommandons de mettre à jour votre paquet tomcat immédiatement.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.