Bulletin d'alerte Debian

DSA-2401-1 tomcat6 -- Plusieurs vulnérabilités

Date du rapport :
2 février 2012
Paquets concernés :
tomcat6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-3190, CVE-2011-3375, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Tomcat, une servlet et un moteur JSP.

  • CVE-2011-1184 CVE-2011-5062 CVE-2011-5063 CVE-2011-5064

    L'implémentation d'authentification HTTP Digest ne mettait pas en place suffisamment de contre-mesures aux attaques par rejeu.

  • CVE-2011-2204

    Les mots de passe étaient écrits dans un fichier de journalisation dans de rares configurations.

  • CVE-2011-2526

    Une vérification manquante d'entrées dans les connecteurs HTTP APR ou HTTP NIO pourrait conduire à un déni de service.

  • CVE-2011-3190

    Des requêtes AJP pourraient être usurpées dans certaines configurations.

  • CVE-2011-3375

    La capture de requête incorrecte pourrait conduire à une divulgation d'informations.

  • CVE-2011-4858 CVE-2012-0022

    Cette mise à jour ajoute des contre-mesures à une vulnérabilité de déni de service par collision dans l'implémentation Java de table de hachage et s'occupe d'éventuels dénis de service lors du traitement d'un grand nombre de requêtes.

De plus amples renseignements sont disponibles en http://tomcat.apache.org/security-6.html

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 6.0.35-1+squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 6.0.35-1.

Nous vous recommandons de mettre à jour vos paquets tomcat6.