Porada dotycząca bezpieczeństwa Debiana
DSA-395-1 tomcat4 -- Nieprawidłowa obsługa zapytań
- Data Zgłoszenia:
- 15.10.2003
- Narażone Pakiety:
- tomcat4
- Podatny:
- Tak
- Odnośniki do baz danych na temat bezpieczeństwa:
- Baza danych Bugtraq (SecurityFocus): Nr BugTraq 8824.
W słowniku CVE Mitre-a CVE-2003-0866. - Więcej informacji:
-
Aldrin Martoq odkrył podatność na odmowę usługi (DoS) w Apache Tomcat 4.0.x. Wysyłanie kilku zapytań spoza protokołu HTTP do łącznika HTTP Tomcata powoduje odrzucenie przez Tomcata następnych żądań na tym porcie do czasu jego zrestartowania.
W aktualnej stabilnej dystrybucji (woody) problem ten został rozwiązany w wersji 4.0.3-3woody3.
W dystrybucji niestabilnej (sid) problem nie istnieje w aktualnej wersji 4.1.24-2.
Zalecamy aktualizację pakietów tomcat4 i restart serwera Tomcata
- Naprawiony w:
-
Debian GNU/Linux 3.0 (woody)
- Źródło:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.diff.gz
- Element niezależny od architektury:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody3_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody3_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody3_all.deb
Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.