Aviso de seguridad de Debian
DSA-395-1 tomcat4 -- gestión de entrada incorrecta
- Fecha del informe:
- 15 de oct de 2003
- Paquetes afectados:
- tomcat4
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 8824.
En el diccionario CVE de Mitre: CVE-2003-0866. - Información adicional:
-
Aldrin Martoq ha descubierto una vulnerabilidad de denegación de servicio (DoS) en Apache Tomcat 4.0.x. Enviar varias peticiones que no eran HTTP al conector HTTP de Tomcat provocaba que Tomcat rechazara las siguientes peticiones realizadas a ese puerto hasta que se reiniciara.
Para la distribución estable actual (woody), este problema se ha corregido en la versión 4.0.3-3woody3.
Para la distribución inestable (sid), este problema no existe porque la versión actual es la 4.1.24-2.
Le recomendamos que actualice los paquetes de tomcat4 y que reinicie el servidor tomcat.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody3_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody3_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody3_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.