Рекомендация Debian по безопасности

DSA-246-1 tomcat -- утечка информации, перекрёстные между сайтами скрипты

Дата сообщения:

29.01.2003

Затронутые пакеты:

tomcat

Уязвим:

Да

Ссылки на базы данных по безопасности:

Более подробная информация:

Разработчики tomcat обнаружили несколько проблем в tomcat версии 3.x. Проект Common Vulnerabilities and Exposures идентифицировал следующие проблемы:

CAN-2003-0042: Злонамеренный запрос может вернуть список файлов каталога, даже если существует index.html, index.jsp или другой начальный файл. Содержимое файла также будет возвращено.
CAN-2003-0043: Злонамеренное web-приложение может прочесть содержимое некоторых файлов за пределами web-приложения через файл web.xml, несмотря на присутствие менеджера безопасности. Будет доступно содержимое файлов, которые могут быть прочитаны как часть документа XML.
CAN-2003-0044: Была обнаружена уязвимость к перекрёстным между сайтами скриптам во включённом примере web-приложения. Она позволяет удалённому нападающему выполнить код произвольного скрипта.

В стабильном дистрибутиве (woody) эта проблема исправлена в версии 3.3a-4woody.1.

Старый стабильный дистрибутив (potato) не содержит пакетов tomcat.

В нестабильном дистрибутиве (sid) эта проблема исправлена в версии 3.3.1a-1.

Мы рекомендуем вам обновить пакет tomcat.

Исправлено в:

Исходный код:: http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
Intel IA-32:: http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.