Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
Apache Tomcat
(3.0, 3.1, 3.1.1, 3.2, 3.2.4, 3.3.1, 3.3a)
Описание
Jakarta Tomcat содержит уязвимость, которая может привести к неавторизованному разглашению информации. Уязвимость существует из-за ошибки при использовании доверительных привилегий для обработки web.xml-файла. Эта уязвимость может позволить злоумышленникам, действующим удаленно, использовать web.xml, чтобы читать произвольные файлы на веб-сервере.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://tomcat.apache.org/
http://tomcat.apache.org/
Ссылки
Apache http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/
Apache (Apache Tomcat 3.3.1a): http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/RELEASE-NOTES-3.3.1a.txt
Security Focus (bid 6722): http://online.securityfocus.com/bid/6722
ISS X-Force (Apache Tomcat web.xml could be used to read files): http://xforce.iss.net/xforce/xfdb/11195
DEBIAN (DSA-246): http://www.debian.org/security/2003/dsa-246
HP (HPSBUX0303-249): http://www.securityfocus.com/advisories/5111
CIAC (N-060): http://www.ciac.org/ciac/bulletins/n-060.shtml
BID (6722): http://www.securityfocus.com/bid/6722
Apache (Apache Tomcat 3.3.1a): http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/RELEASE-NOTES-3.3.1a.txt
Security Focus (bid 6722): http://online.securityfocus.com/bid/6722
ISS X-Force (Apache Tomcat web.xml could be used to read files): http://xforce.iss.net/xforce/xfdb/11195
DEBIAN (DSA-246): http://www.debian.org/security/2003/dsa-246
HP (HPSBUX0303-249): http://www.securityfocus.com/advisories/5111
CIAC (N-060): http://www.ciac.org/ciac/bulletins/n-060.shtml
BID (6722): http://www.securityfocus.com/bid/6722