Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
libapache-mod-jk
(any)
tomcat
(any)
Описание
Разработчики tomcat обнаружили несколько проблем в tomcat версии
3.x. Проект Common Vulnerabilities and Exposures идентифицировал
следующие проблемы:
CAN-2003-0042: Злонамеренный запрос может вернуть список файлов
каталога, даже если существует index.html, index.jsp или другой
начальный файл. Содержимое файла также будет возвращено.
CAN-2003-0043: Злонамеренное web-приложение может прочесть содержимое
некоторых файлов за пределами web-приложения через файл web.xml, несмотря
на присутствие менеджера безопасности. Будет доступно содержимое файлов,
которые могут быть прочитаны как часть документа XML.
CAN-2003-0044: Была обнаружена уязвимость к перекрёстным между сайтами
скриптам во включённом примере web-приложения. Она позволяет удалённому
нападающему выполнить код произвольного скрипта.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 3.3a-4woody.1.
Старый стабильный дистрибутив (potato) не содержит пакетов tomcat.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в версии 3.3.1a-1.
Мы рекомендуем вам обновить пакет tomcat.
3.x. Проект Common Vulnerabilities and Exposures идентифицировал
следующие проблемы:
CAN-2003-0042: Злонамеренный запрос может вернуть список файлов
каталога, даже если существует index.html, index.jsp или другой
начальный файл. Содержимое файла также будет возвращено.
CAN-2003-0043: Злонамеренное web-приложение может прочесть содержимое
некоторых файлов за пределами web-приложения через файл web.xml, несмотря
на присутствие менеджера безопасности. Будет доступно содержимое файлов,
которые могут быть прочитаны как часть документа XML.
CAN-2003-0044: Была обнаружена уязвимость к перекрёстным между сайтами
скриптам во включённом примере web-приложения. Она позволяет удалённому
нападающему выполнить код произвольного скрипта.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 3.3a-4woody.1.
Старый стабильный дистрибутив (potato) не содержит пакетов tomcat.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в версии 3.3.1a-1.
Мы рекомендуем вам обновить пакет tomcat.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
noarch:
tomcat - 3.3a-4woody1
i686:
libapache-mod-jk - 3.3a-4woody1
Debian GNU/Linux 3.0:
noarch:
tomcat - 3.3a-4woody1
i686:
libapache-mod-jk - 3.3a-4woody1
Ссылки
http://www.debian.org/security/dsa-246/
Источник: CVE
Наименование: CVE-2003-0042
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0042
Источник: CVE
Наименование: CVE-2003-0043
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0043
Источник: CVE
Наименование: CVE-2003-0044
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0044
Источник: CVE
Наименование: CVE-2003-0042
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0042
Источник: CVE
Наименование: CVE-2003-0043
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0043
Источник: CVE
Наименование: CVE-2003-0044
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0044