blob: 105776e55c58758fbacfd3ddbd15be61181ca1db (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>tietojen paljastuminen, ristiinlinkittävä komentosarja</define-tag>
<define-tag moreinfo>
<p>Tomcatin kehittäjät havaitsivat tomcatin versiossa 3.x useita ongelmia.
The Common Vulnerabilities and Exposures-projekti tunnisti seuraavat ongelmat:
</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0042">\
CAN-2003-0042</a>: Hakemistolistauksen palauttaminen on mahdollista
pahantahtoisesti muotoillun pyynnön kautta, vaikka index.html, index.jsp
tai muu vastaava tiedosto olisikin olemassa. Myös tiedoston sisällön
palauttaminen on mahdollista.</li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0043">\
CAN-2003-0043</a>: Pahantahtoisen www-sovelluksen avulla on mahdollista
lukea www-sovelluksen ulkopuolisten tiedostojen sisältöä sen
web.xml-tiedoston kautta, huolimatta mahdollisista tietoturvamanagereista.
XML-dokumentin osana olevien tiedostojen sisältöön käsiksi pääsy on
mahdollista.</li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0044">\
CAN-2003-0044</a>: Ristiinlinkittävän komentosarjan mahdollistava
haavoittuvuus havaittiin mukana tulevasta www-sovellusmallista.
Etähyökkääjien on mahdollista suorittaa mielivaltaisia skriptejä
tätä kautta.</li>
</ul>
<p>Ongelma on korjattu vakaan jakelun (woody) versiossa 3.3a-4woody.1 .</p>
<p>Aiempi vakaa jakelu (potato) ei sisällä tomcat-paketteja.</p>
<p>Ongelma on korjattu epävakaan jakelun (sid) versiossa 3.3.1a-1 .</p>
<p>Suosittelemme päivittämään tomcat-paketin.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-246.data"
|