Säkerhetsbulletin från Debian

DSA-170-1 tomcat4 -- avslöjande av källkod

Rapporterat den:

2002-10-04

Berörda paket:

tomcat4

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5786.
I Mitres CVE-förteckning: CVE-2002-1148.

Ytterligare information:

Ett säkerhetsproblem har upptäckts i alla utgåvor av Tomcat 4.x. Problemet gör det möjligt för en angripare att använda en specialskriven URL för att hämta den otolkade källkoden för en JSP-sida, eller, under specifika omständigheter, en statisk resurs som annars skulle ha skyddats av säkerhetsbegränsningar, utan att behöva autentiseras ordentligt.

Detta problem har rättats i version 4.0.3-3woody1 för den nuvarande stabila utgåvan (Woody) samt i version 4.1.12-1 för den instabila utgåvan (Sid). Den gamla stabila utgåvan (Potato) innehåller inte tomcat-paket. Paket för tomcat3 är inte sårbara för detta problem.

Vi rekommenderar att ni uppgraderar ert tomcat-paket omedelbart.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.