Csomag: tomcat4
Sebezhetőség: forrás közzététel
Probléma-típus: távoli
Debian-specifikus: nem
CVE Id: CAN-2002-1394
Egy biztonsági sebezhetőséget találtak az Apache Tomcat 4.0.x kiadásokban, ami megengedi speciálisan előállított URLeknek, hogy visszaadja a feldolgozatlan JSP oldalt vagy bizonyos körülmények között egy statikus erőforrást, ami egyébként egy biztonsági megkötés által védve lenne, megfelelő azonosítás (autentikáció) nélkül. Ez a CAN-2002-1148 által azonosított exploit egy variánsától függ/azon alapul.Az aktuális stabil terjesztés (woody) ezt a problémát a 4.0.3-3woody2 verzióban javítja.
A régi stabil terjesztés (potato) nem tartalmaz tomcat csomagokat.
Az instabil terjesztésben (sid) ez a probléma nem létezik az akutális 4.1.16-1 verzióban.
A tomcat csomagok frissítését javasoljuk
Martin Schultze levele a debian-security-announce listán.
A frissítésről szóló FAQ-nk.