Рекомендация Debian по безопасности
DSA-395-1 tomcat4 -- некорректная обработка входного текста
- Дата сообщения:
- 15.10.2003
- Затронутые пакеты:
- tomcat4
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 8824.
В каталоге Mitre CVE: CVE-2003-0866. - Более подробная информация:
-
Алдрин Марток (Aldrin Martoq) обнаружил уязвимость к атаке на отказ в обслуживании в Apache Tomcat 4.0.x. Отправка нескольких не-http-запросов на http-коннектор Tomcat приводит к тому, что Tomcat отвергает все последующие запросы, полученные по этому порту, до тех пор, пока не будет перезапущен.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 4.0.3-3woody3.
В нестабильном дистрибутиве (sid) текущей версией является версия 4.1.24-2, где этой проблемы нет.
Мы рекомендуем вам обновить пакеты tomcat4 и перезапустить сервер tomcat.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.dsc
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.diff.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody3_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody3_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3_all.deb
- http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody3_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.