Debians sikkerhedsbulletin

DSA-170-1 tomcat4 -- afsløring af kildekode

Rapporteret den:

4. okt 2002

Berørte pakker:

tomcat4

Sårbar:

Referencer i sikkerhedsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5786.
I Mitres CVE-ordbog: CVE-2002-1148.

Yderligere oplysninger:

En sikkerhedssårbarhed er blevet opdaget i alle Tomcat 4.x-udgaver. Problemet tillader en angriber at bruge en specielt fremstillet URL til at returnere den ubehandlede kildekode fra en JSP-side, eller under særlige omstændigheder, en statisk ressource som ellers ville have været beskyttet af sikkerhedsbegrænsninger, uden at det er nødvendigt at være autentificeret på korrekt vis.

Problemet er rettet i version 4.0.3-3woody1 i den aktuelle stabile distribution (woody) og i version 4.1.12-1 i den ustabile udgave (sid). Den gamle udgave (potato) indeholder ikke tomcat-pakker. tomcat3-pakkerne er desuden ikke sårbare overfor dette problem.

Vi anbefaler at du omgående opgraderer din tomcat-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.