发布日期：2003-01-26
更新日期：2003-02-03

受影响系统：

Apache Software Foundation Tomcat 3.3.1
Apache Software Foundation Tomcat 3.3
Apache Software Foundation Tomcat 3.2.4
Apache Software Foundation Tomcat 3.2.3
Apache Software Foundation Tomcat 3.2.1
Apache Software Foundation Tomcat 3.2
Apache Software Foundation Tomcat 3.1.1
Apache Software Foundation Tomcat 3.1
Apache Software Foundation Tomcat 3.0

不受影响系统：

Apache Software Foundation Tomcat 3.3.1a

描述：

---

BUGTRAQ  ID: 6721
CVE(CAN) ID: CVE-2003-0042

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。

Apache Tomcat JDK 1.3.1及其以前版本的软件实现上存在漏洞，远程攻击者可能利用此漏洞获取服务器上目录和文件的内容。

Apache Tomcat对存在空字节(%00)和反斜杠('\')字符的web请求的处理上存在漏洞，可能会泄漏目录和文件的内容。

<*来源：Jouko Pynn&ouml;nen of Online Solutions Ltd
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104394568616290&w=2
        http://www.debian.org/security/2003/dsa-246
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-246-1）以及相应补丁:
DSA-246-1：New tomcat packages fix information exposure and cross site scripting
链接：http://www.debian.org/security/2003/dsa-246

补丁下载：

Source archives:

http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc
Size/MD5 checksum:      714 1c34b1fdedf90ea10531ed12a8c6ae0b
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
Size/MD5 checksum:    15146 c58c7edd2df1a806b510068ab7a9a04f
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
Size/MD5 checksum:  2087545 2df39325c7293ee11ae5547281ca1077

Architecture independent components:

http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
Size/MD5 checksum:  1196810 1ed6efa36586a8a3d3b527aeebbc4531

Intel IA-32 architecture:

http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb
Size/MD5 checksum:    51522 1e11d6a43654fc6d921c8bc90ad15b4b

补丁安装方法：

1. 手工安装补丁包：

  首先，使用下面的命令来下载补丁软件：
  # wget url  (url是补丁下载链接地址)

  然后，使用下面的命令来安装补丁：  
  # dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

   首先，使用下面的命令更新内部数据库：
   # apt-get update
  
   然后，使用下面的命令安装更新软件包：
   # apt-get upgrade

Apache Software Foundation
--------------------------
目前厂商已经在3.3.1a及其以后版本的软件中修复了这个安全问题，请到厂商的主页下载：

http://jakarta.apache.org/tomcat/index.html

浏览次数：3702
严重程度：0（网友投票）