Bulletin d'alerte Debian

DSA-170-1 tomcat4 -- Faille dans le code source

Date du rapport :

4 octobre 2002

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 5786.
Dans le dictionnaire CVE du Mitre : CVE-2002-1148.

Plus de précisions :

Une faille de sécurité a été découverte dans toutes les versions de Tomcat 4.x. Ce problème permet à un assaillant d'utiliser une URL particulière pour visualiser le code source d'une page JSP. Ou, dans certaines conditions, une ressource statique, qui aurait dû être protégée par des contraintes de sécurité, peut être obtenue sans avoir besoin d'être identifié.

Ce problème a été corrigé dans la version 4.0.3-3woody1 pour l'actuelle distribution stable (Woody) et dans la version 4.1.12-1 pour la distribution unstable (Sid). L'ancienne distribution stable (Potato) ne possède pas le paquet tomcat. De plus, les paquets pour tomcat3 ne sont pas vulnérables à ce problème.

Nous vous recommandons de mettre à jour votre paquet tomcat immédiatement.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.