Aviso de seguridad de Debian

DSA-395-1 tomcat4 -- gestión de entrada incorrecta

Fecha del informe:

15 de oct de 2003

Paquetes afectados:

tomcat4

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 8824.
En el diccionario CVE de Mitre: CVE-2003-0866.

Información adicional:

Aldrin Martoq ha descubierto una vulnerabilidad de denegación de servicio (DoS) en Apache Tomcat 4.0.x. Enviar varias peticiones que no eran HTTP al conector HTTP de Tomcat provocaba que Tomcat rechazara las siguientes peticiones realizadas a ese puerto hasta que se reiniciara.

Para la distribución estable actual (woody), este problema se ha corregido en la versión 4.0.3-3woody3.

Para la distribución inestable (sid), este problema no existe porque la versión actual es la 4.1.24-2.

Le recomendamos que actualice los paquetes de tomcat4 y que reinicie el servidor tomcat.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.dsc; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3.diff.gz; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/contrib/t/tomcat4/libtomcat4-java_4.0.3-3woody3_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4-webapps_4.0.3-3woody3_all.deb; http://security.debian.org/pool/updates/contrib/t/tomcat4/tomcat4_4.0.3-3woody3_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.