Porada dotycząca bezpieczeństwa Debiana

DSA-395-1 tomcat4 -- Nieprawidłowa obsługa zapytań

Data Zgłoszenia:

15.10.2003

Narażone Pakiety:

tomcat4

Podatny:

Tak

Odnośniki do baz danych na temat bezpieczeństwa:

Baza danych Bugtraq (SecurityFocus): Nr BugTraq 8824.
W słowniku CVE Mitre-a CVE-2003-0866.

Więcej informacji:

Aldrin Martoq odkrył podatność na odmowę usługi (DoS) w Apache Tomcat 4.0.x. Wysyłanie kilku zapytań spoza protokołu HTTP do łącznika HTTP Tomcata powoduje odrzucenie przez Tomcata następnych żądań na tym porcie do czasu jego zrestartowania.

W aktualnej stabilnej dystrybucji (woody) problem ten został rozwiązany w wersji 4.0.3-3woody3.

W dystrybucji niestabilnej (sid) problem nie istnieje w aktualnej wersji 4.1.24-2.

Zalecamy aktualizację pakietów tomcat4 i restart serwera Tomcata

Naprawiony w:

Debian GNU/Linux 3.0 (woody)

Źródło:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Element niezależny od architektury:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody3_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody3_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3_all.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.