Alerta de Segurança Debian
DSA-170-1 tomcat4 -- código fonte exposto
- Data do Alerta:
- 04 Out 2002
- Pacotes Afetados:
- tomcat4
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 5786.
No dicionário CVE do Mitre: CVE-2002-1148. - Informações adicionais:
-
Uma falha de segurança foi encontrada em todas as versões do Tomcat 4.x. Esse problema permite que um atacante utilize uma url especial para retornar o código não processado de uma página JSP, ou, em determinadas circunstâncias, um recurso estático que de outra maneira seria protegido por restrições de segurança, sem a necessidade de ser propriamente autenticado.
Esse problema foi corrigido nas versões 4.0.3-3woody1 para a atual distribuição estável (woody) e 4.1.12-1 para a distribuição instável (sid). A antiga distribuição estável (potato) não contém os pacotes do tomcat. Os pacotes para tomcat3 não estão vulneráveis a esse problema.
Nos recomendamos que você atualize seu pacote tomcat imediatamente.
- Corrigido em:
-
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.