Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
Apache Tomcat
(3.0, 3.1, 3.1.1, 3.2, 3.2.4, 3.3.1, 3.3a)
Описание
Jakarta Tomcat при использовании с JDK позволяет злоумышленникам, действующим удаленно, читать списки каталогов даже с index.html или другим присутствующим файлом, или получить исходный код JSP-файла с помощью URL, содержащего нулевой символ.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://tomcat.apache.org/
http://tomcat.apache.org/
Ссылки
Apache http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/
Apache (Apache Tomcat 3.3.1a): http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/RELEASE-NOTES-3.3.1a.txt
Security Focus (bid 6721): http://online.securityfocus.com/bid/6721
Bugtraq (Apache Jakarta Tomcat 3 URL parsing vulnerability): http://marc.theaimsgroup.com/?l=bugtraq&m=104394568616290&w=2
Debian (DSA-246-1 tomcat -- information exposure, cross site scripting): http://www.debian.org/security/2003/dsa-246
HP (HPSBUX0303-249): http://www.securityfocus.com/advisories/5111
CIAC (N-060): http://www.ciac.org/ciac/bulletins/n-060.shtml
BID (6721): http://www.securityfocus.com/bid/6721
XF (tomcat-null-directory-listing(11194)): http://xforce.iss.net/xforce/xfdb/11194
Apache (Apache Tomcat 3.3.1a): http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/RELEASE-NOTES-3.3.1a.txt
Security Focus (bid 6721): http://online.securityfocus.com/bid/6721
Bugtraq (Apache Jakarta Tomcat 3 URL parsing vulnerability): http://marc.theaimsgroup.com/?l=bugtraq&m=104394568616290&w=2
Debian (DSA-246-1 tomcat -- information exposure, cross site scripting): http://www.debian.org/security/2003/dsa-246
HP (HPSBUX0303-249): http://www.securityfocus.com/advisories/5111
CIAC (N-060): http://www.ciac.org/ciac/bulletins/n-060.shtml
BID (6721): http://www.securityfocus.com/bid/6721
XF (tomcat-null-directory-listing(11194)): http://xforce.iss.net/xforce/xfdb/11194