Aviso de seguridad de Debian

DSA-170-1 tomcat4 -- revelación de código fuente

Fecha del informe:

4 de oct de 2002

Paquetes afectados:

tomcat4

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 5786.
En el diccionario CVE de Mitre: CVE-2002-1148.

Información adicional:

Se ha encontrado una vulnerabilidad de seguridad en todas las versiones de Tomcat 4.x. Este problema permite a un atacante usar una URL modificada especialmente para develver el código fuente no procesado de una página JSP, o, bajo circunstancias especiales, un recurso estático que debería estar protegido por las restricciones de seguridad, sin necesidad de estar correctamente identificado.

Este problema se ha corregido en la versión 4.0.3-3woody1 para la distribución estable (woody) y en la versión 4.1.12-1 para la versión inestable (sid). La versión estable anterior (potato) no contiene los paquetes de tomcat. Los paquetes para tomcat3 no son vulnerables a este problema.

Le recomendamos que actualice el actualice el paquete tomcat inmediatamente.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.