• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-225-1 tomcat4 -- открытие исходного текста

Главная Специалистам База уязвимостей DSA-225-1 tomcat4 -- открытие исходного текста

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Подтверждено наличие уязвимого места в выпусках Apache Tomcat версий
4.0.x, позволяющего использовать особым образом составленный URL для того,
чтобы получить, не имея соответствующих привилегий, необработанный исходный
текст страницы JSP, или, при особых условиях, статический ресурс, который
в противном случае должен быть защищён системой безопасности. Атака
основана на вариации метода, идентифицированного в
CAN-2002-1148.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена
в версии 4.0.3-3woody2.
Старый стабильный дистрибутив (potato) не содержит пакетов tomcat.
В нестабильном дистрибутиве (sid), в пакетах tomcat версии 4.1.16-1,
эта проблема отсутствует.
Мы рекомендуем вам обновить пакеты tomcat.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
noarch:
libtomcat4-java - 4.0.3-3woody2
tomcat4-webapps - 4.0.3-3woody2
tomcat4 - 4.0.3-3woody2
Ссылки
http://www.debian.org/security/dsa-225/

Источник: CVE
Наименование: CVE-2002-1394
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1394