Las versiones de Apache TOMCAT previas a la 4.0.5 o 4.1.12 son
susceptibles a una vulnerabilidad mediante la cual un atacante puede
obtener el código fuente de una página JSP.
Apache TOMCAT es un componente Apache (dentro del proyecto Jakarta) que
incorpora un servidor JSP y Java Servlets 100% código abierto.
Las versiones no actualizadas 4.* de TOMCAT devuelven el código fuente
de una página JSP o Servlet al introducir una URL formateada
apropiadamente. Bajo ciertas circunstancias, podría ser posible también
acceder a recursos protegidos.
La recomendación es actualizar cuanto antes a Apache TOMCAT 4.0.5 o
4.1.12, ya disponibles.
jcea@hispasec.com
Más información:
Bug de seguridad en Apache Tomcat 4.x, y nueva version estable
http://www.javahispano.org/noticias/entera.jsp?id=472
Publicado bug en Tomcat
http://barrapunto.com/article.pl?sid=02/09/26/1849256
24 September 2002 – Security updates: Tomcat 4.1.12 Stable and Tomcat
4.0.5 Released
http://jakarta.apache.org/site/news.html#0924.1
Deja una respuesta