Porada dotycząca bezpieczeństwa Debiana

DSA-395-1 tomcat4 -- Nieprawidłowa obsługa zapytań

Data Zgłoszenia:
15.10.2003
Narażone Pakiety:
tomcat4
Podatny:
Tak
Odnośniki do baz danych na temat bezpieczeństwa:
Baza danych Bugtraq (SecurityFocus): Nr BugTraq 8824.
W słowniku CVE Mitre-a CVE-2003-0866.
Więcej informacji:

Aldrin Martoq odkrył podatność na odmowę usługi (DoS) w Apache Tomcat 4.0.x. Wysyłanie kilku zapytań spoza protokołu HTTP do łącznika HTTP Tomcata powoduje odrzucenie przez Tomcata następnych żądań na tym porcie do czasu jego zrestartowania.

W aktualnej stabilnej dystrybucji (woody) problem ten został rozwiązany w wersji 4.0.3-3woody3.

W dystrybucji niestabilnej (sid) problem nie istnieje w aktualnej wersji 4.1.24-2.

Zalecamy aktualizację pakietów tomcat4 i restart serwera Tomcata

Naprawiony w:

Debian GNU/Linux 3.0 (woody)

Źródło:
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.dsc
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.diff.gz
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Element niezależny od architektury:
http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody3_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody3_all.deb
http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3_all.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.