Os desenvolvedores do tomcat descobriram vários problemas na versão
3.x do tomcat. O projeto Vulnerabilidades Comuns e Exposições
identificou os seguintes problemas:
- CAN-2003-0042: Uma requisição maliciosa cuidadosamente preparada
pode retornar uma lista de diretórios, mesmo quando um arquivo
index.html, index.jsp, ou outro arquivo desse tipo estiver
presente. O conteúdo dos arquivos podem ser retornados também.
- CAN-2003-0043: Uma aplicação web maliciosa pode ler o conteúdo de
alguns arquivos fora da aplicação web via seu arquivo web.xml
apesar da presença de um gerenciador de segurança. O conteúdo dos
arquivos que podem ser lidos como parte de um documento XML podem
estar acessíveis.
- CAN-2003-0044: Uma vulnerabilidade de cross-site scripting foi
descoberta na aplicação web de exemplo incluída que permite que
atacantes remotos executem códigos de script arbitrários.
Para a distribuição estável (woody) esse problema foi corrigido na
versão 3.3a-4woody.1.
A antiga distribuição estável (potato) não contém os pacotes do tomcat.
Para a distribuição instável (sid) esse problema foi corrigido na
versão 3.3.1a-1.
Nós recomendamos que você atualize seu pacote tomcat.
