Debian-Sicherheitsankündigung

DSA-170-1 tomcat4 -- Quellcode-Enthüllung

Datum des Berichts:

04. Okt 2002

Betroffene Pakete:

tomcat4

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 5786.
In Mitres CVE-Verzeichnis: CVE-2002-1148.

Weitere Informationen:

Eine Sicherheitsverwundbarkeit wurde in allen Tomcat 4.x Releases gefunden. Dieses Problem erlaubt es einem Angreifer unter Verwendung von sorgfältig erstellten URLs, unverarbeiteten Quellcode einer JSP-Seite zurückzuliefern, oder, unter speziellen Umständen, eine statische Ressource, die anderweitig von Sicherheitsauflagen geschützt wären, ohne die Notwendigkeit einer ordentlichen Authentifizierung.

Dieses Problem wurde in Version 4.0.3-3woody1 für die aktuelle stable Distribution (Woody) und in Version 4.1.12-1 für das unstable Release (Sid) behoben. Das alte stable Release (Potato) beinhaltet keine tomcat Pakete. Ebenso sind die Pakete für tomcat3 nicht für dieses Problem anfällig.

Wir empfehlen Ihnen, Ihr tomcat Paket unverzüglich zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody1_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.