Рекомендация Debian по безопасности

DSA-395-1 tomcat4 -- некорректная обработка входного текста

Дата сообщения:

15.10.2003

Затронутые пакеты:

tomcat4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 8824.
В каталоге Mitre CVE: CVE-2003-0866.

Более подробная информация:

Алдрин Марток (Aldrin Martoq) обнаружил уязвимость к атаке на отказ в обслуживании в Apache Tomcat 4.0.x. Отправка нескольких не-http-запросов на http-коннектор Tomcat приводит к тому, что Tomcat отвергает все последующие запросы, полученные по этому порту, до тех пор, пока не будет перезапущен.

В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 4.0.3-3woody3.

В нестабильном дистрибутиве (sid) текущей версией является версия 4.1.24-2, где этой проблемы нет.

Мы рекомендуем вам обновить пакеты tomcat4 и перезапустить сервер tomcat.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody3_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody3_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.