Рекомендация Debian по безопасности
DSA-170-1 tomcat4 -- раскрытие исходного кода
- Дата сообщения:
- 04.10.2002
- Затронутые пакеты:
- tomcat4
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 5786.
В каталоге Mitre CVE: CVE-2002-1148. - Более подробная информация:
-
Во всех выпусках Tomcat 4.x была обнаружена проблема безопасности. Эта проблема позволяет злоумышленнику использовать специально сформированный URL для возврата необработанного исходного кода страницы JSP, либо при определённых обстоятельствах статичный ресурс, который в противном случае был бы защищён ограничениями безопасности, без необходимости в соответствующей аутентификации.
Эта проблема была исправлена в версии 4.0.3-3woody1 для текущего стабильного выпуска (woody) и в версии 4.1.12-1 для нестабильного выпуска (sid). В предыдущем стабильном выпуске (potato) пакеты tomcat отсутствуют. Кроме того, пакеты tomcat3 не подвержены этой проблеме.
Рекомендуется как можно скорее обновить пакет tomcat.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.