Debian セキュリティ勧告
DSA-170-1 tomcat4 -- ソースコードの暴露
- 報告日時:
- 2002-10-04
- 影響を受けるパッケージ:
- tomcat4
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 5786.
Mitre の CVE 辞書: CVE-2002-1148. - 詳細:
-
セキュリティ上の脆弱性が、Tomcat 4.x リリースのすべてに発見 されました。この問題によって、攻撃者が、特別に作成した URL を用いて、 処理されていない JSP のソースコードを戻り値として返させたり、 特定の条件下で、本来ならばセキュリティ制限によって保護されるべき 静的リソースを、適切な認証を経ずに得たりすることが可能となってしまいます。
この問題は、現安定版 (stable)(woody) ではバージョン 4.0.3-3woody1 で、不安定版 (unstable)(sid) ではバージョン version 4.1.12-1 で 各々修正されています。 旧安定版 (potato) は tomcat パッケージを含まないため、この問題の 影響を受けません。tomcat3 のパッケージも、この脆弱性はありません。
早急に tomcat4 パッケージをアップグレードすることをお勧めします。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。