Los desarrolladores de tomcat descubrieron varios problemas en la
versión 3.x. El proyecto Vulnerabilidades y Exposiciones Comunes
(CVE) identificó los siguientes problemas:
- CAN-2003-0042: Una petición malvadamente modificada podía devolver un
listado del directorio aunque estuvieran presentes los archivos
index.html, index.jsp u otro archivo de bienvenida. También podía
devolver los contenidos del archivo.
- CAN-2003-0043: Una aplicación web malvada podía leer los contenidos
de varios archivos exteriores a la aplicación web vía su archivo web.xml
a pesar de la presencia de un gestor de seguridad. El contenido de los
archivos que se podían leer como parte de un documento XML serían
accesibles.
- CAN-2003-0044: Se descubrió una vulnerabilidad de scripts a través
del sitio en la aplicación web de ejemplo que permitía a los atacantes
remotos ejecutar código de script arbitrario.
Para la distribución estable (woody), este problema se ha corregido en
la versión 3.3a-4woody.1.
La distribución estable anterior (potato) no contenía los paquetes de
tomcat.
Para la distribución inestable (sid), este problema se ha corregido en
la versión 3.3.1a-1.
Le recomendamos que actualice el paquete tomcat.
