Разработчики tomcat обнаружили несколько проблем в tomcat версии
3.x. Проект Common Vulnerabilities and Exposures идентифицировал
следующие проблемы:
- CAN-2003-0042: Злонамеренный запрос может вернуть список файлов
каталога, даже если существует index.html, index.jsp или другой
начальный файл. Содержимое файла также будет возвращено.
- CAN-2003-0043: Злонамеренное web-приложение может прочесть содержимое
некоторых файлов за пределами web-приложения через файл web.xml, несмотря
на присутствие менеджера безопасности. Будет доступно содержимое файлов,
которые могут быть прочитаны как часть документа XML.
- CAN-2003-0044: Была обнаружена уязвимость к перекрёстным между сайтами
скриптам во включённом примере web-приложения. Она позволяет удалённому
нападающему выполнить код произвольного скрипта.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 3.3a-4woody.1.
Старый стабильный дистрибутив (potato) не содержит пакетов tomcat.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в версии 3.3.1a-1.
Мы рекомендуем вам обновить пакет tomcat.
