Рекомендация Debian по безопасности

DSA-170-1 tomcat4 -- раскрытие исходного кода

Дата сообщения:
04.10.2002
Затронутые пакеты:
tomcat4
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 5786.
В каталоге Mitre CVE: CVE-2002-1148.
Более подробная информация:

Во всех выпусках Tomcat 4.x была обнаружена проблема безопасности. Эта проблема позволяет злоумышленнику использовать специально сформированный URL для возврата необработанного исходного кода страницы JSP, либо при определённы обстоятельствах статичный ресурс, который в противном случае был бы защищён ограничениями безопасности, без необходимости в соответствующей аутентификации.

Эта проблема была исправлена в версии 4.0.3-3woody1 для текущего стабильного выпуска (woody) и в версии 4.1.12-1 для нестабильного выпуска (sid). В предыдущем стабильном выпуске (potato) пакеты tomcat отсутствуют. Кроме того, пакеты tomcat3 не подвержены этой проблеме.

Рекомендуется как можно скорее обновить пакет tomcat.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.