Debianin tietoturvatiedote

DSA-170-1 tomcat4 -- lähdekoodin paljastuminen

Ilmoitettu:

4.10.2002

Vaikutuksen alaiset paketit:

tomcat4

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 5786.
Mitren CVE-sanakirjassa: CVE-2002-1148.

Lisätietoa:

Kaikissa Tomcat 4.x-julkaisuissa on havaittu tietoturva-aukko. Tämän aukon kautta hyökkääjän on mahdollista, ilman kunnollista käyttäjätunnistusta, huolella muotoillun URL-osoitteen avulla palauttaa käsittelemättömän JSP-sivun lähdekoodi, tai tietyissä olosuhteissa, jokin staattinen resurssi joka muutoin olisi suojattu jollain turvamenetelmällä.

Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 4.0.3-3woody1 ja epävakaan jakelun (sid) versiossa 4.1.12-1 . Aiempi vakaa jakelu (potato) ei sisällä tomcat-paketteja. Myöskään tomcat3:n paketit eivät ole alttiita tälle haavoittuvuudelle.

Suosittelemme päivittämään tomcat-paketin välittömästi.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.