Рекомендация Debian по безопасности
DSA-1453-1 tomcat5 -- несколько уязвимостей
- Дата сообщения:
- 07.01.2008
- Затронутые пакеты:
- tomcat5
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2007-3382, CVE-2007-3385, CVE-2007-5461.
- Более подробная информация:
-
В сервлете Tomcat и движке JSP было обнаружено несколько удалённых уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2007-3382
Было обнаружено, что одиночные кавычки (') в куки считаются разделителями, что может приводить к утечке информации.
- CVE-2007-3385
Было обнаружено, что последовательность символов \" в куки обрабатывается неправильно, что может приводить к утечке информации.
- CVE-2007-5461
Было обнаружено, что сервлет WebDAV уязвим к изменению каталога.
В предыдущем стабильном выпуске (sarge) пакеты tomcat5 отсутствуют.
В стабильном выпуске (etch) эти проблемы были исправлены в версии 5.0.30-12etch1.
В нестабильном выпуске (sid) пакеты tomcat5 отсутствуют.
Рекомендуется обновить пакеты tomcat5.
- CVE-2007-3382
- Исправлено в:
-
Debian GNU/Linux 4.0 (stable)
- Исходный код:
- http://security.debian.org/pool/updates/main/t/tomcat5/tomcat5_5.0.30-12etch1.diff.gz
- http://security.debian.org/pool/updates/main/t/tomcat5/tomcat5_5.0.30-12etch1.dsc
- http://security.debian.org/pool/updates/main/t/tomcat5/tomcat5_5.0.30.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/tomcat5/tomcat5_5.0.30-12etch1.dsc
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/t/tomcat5/tomcat5_5.0.30-12etch1_all.deb
- http://security.debian.org/pool/updates/main/t/tomcat5/libtomcat5-java_5.0.30-12etch1_all.deb
- http://security.debian.org/pool/updates/main/t/tomcat5/tomcat5-admin_5.0.30-12etch1_all.deb
- http://security.debian.org/pool/updates/main/t/tomcat5/tomcat5-webapps_5.0.30-12etch1_all.deb
- http://security.debian.org/pool/updates/main/t/tomcat5/libtomcat5-java_5.0.30-12etch1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.