• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-246-1 tomcat -- утечка информации, перекрёстные между сайтами скрипты

Главная Специалистам База уязвимостей DSA-246-1 tomcat -- утечка информации, перекрёстные между сайтами скрипты

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
libapache-mod-jk (any) tomcat (any)
Описание
Разработчики tomcat обнаружили несколько проблем в tomcat версии
3.x. Проект Common Vulnerabilities and Exposures идентифицировал
следующие проблемы:

CAN-2003-0042: Злонамеренный запрос может вернуть список файлов
   каталога, даже если существует index.html, index.jsp или другой
   начальный файл. Содержимое файла также будет возвращено.
CAN-2003-0043: Злонамеренное web-приложение может прочесть содержимое
   некоторых файлов за пределами web-приложения через файл web.xml, несмотря
   на присутствие менеджера безопасности. Будет доступно содержимое файлов,
   которые могут быть прочитаны как часть документа XML.
CAN-2003-0044: Была обнаружена уязвимость к перекрёстным между сайтами
   скриптам во включённом примере web-приложения. Она позволяет удалённому
   нападающему выполнить код произвольного скрипта.

В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 3.3a-4woody.1.
Старый стабильный дистрибутив (potato) не содержит пакетов tomcat.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в версии 3.3.1a-1.
Мы рекомендуем вам обновить пакет tomcat.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
noarch:
tomcat - 3.3a-4woody1
i686:
libapache-mod-jk - 3.3a-4woody1
Ссылки
http://www.debian.org/security/dsa-246/

Источник: CVE
Наименование: CVE-2003-0042
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0042

Источник: CVE
Наименование: CVE-2003-0043
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0043

Источник: CVE
Наименование: CVE-2003-0044
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0044