Bacheca Debian sulla sicurezza
DSA-170-1 tomcat4 -- codice sorgente reso pubblico
- Data della segnalazione:
- 04 ott 2002
- Pacchetti coinvolti:
- tomcat4
- Vulnerabile:
- Sì
- Referenze all'interno del database della sicurezza:
- Nel database Bugtraq (presso SecurityFocus): Numero del bug 5786.
Nel dizionario CVE di Mitre: CVE-2002-1148. - Maggiori informazioni:
-
Una vulnerabilità legata alla sicurezza è stata trovata in tutte le versioni di Tomcat 4.x. Questo problema permette ad un attaccante di usare un URL truccato per fare restituire il codice JSP non processato, oppure, in alcune circostanze, una risorsa statica che sarebbe altrimenti protetta da vincoli di sicurezza, senza la necessaria autenticazione.
Il problema è stato risolto nella versione 4.0.3-3woody1 per la attuale distribuzione stable (woody) e nella versione 4.1.12-1 per la distribuzione unstable (sid). La precedente distribuzione stable (potato) non contiene il pacchetto tomcat. Inoltre i pacchetti di tomcat3 non sono vulnerabili.
Si raccomanda di aggiornare il proprio pacchetto tomcat immediatamente.
- Risolto in:
-
Debian GNU/Linux 3.0 (woody)
- Sorgente:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- Componente indipendente dall'architettura:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.