Säkerhetsbulletin från Debian
DSA-170-1 tomcat4 -- avslöjande av källkod
- Rapporterat den:
- 2002-10-04
- Berörda paket:
- tomcat4
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5786.
I Mitres CVE-förteckning: CVE-2002-1148. - Ytterligare information:
-
Ett säkerhetsproblem har upptäckts i alla utgåvor av Tomcat 4.x. Problemet gör det möjligt för en angripare att använda en specialskriven URL för att hämta den otolkade källkoden för en JSP-sida, eller, under specifika omständigheter, en statisk resurs som annars skulle ha skyddats av säkerhetsbegränsningar, utan att behöva autentiseras ordentligt.
Detta problem har rättats i version 4.0.3-3woody1 för den nuvarande stabila utgåvan (Woody) samt i version 4.1.12-1 för den instabila utgåvan (Sid). Den gamla stabila utgåvan (Potato) innehåller inte tomcat-paket. Paket för tomcat3 är inte sårbara för detta problem.
Vi rekommenderar att ni uppgraderar ert tomcat-paket omedelbart.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.