Bulletin d'alerte Debian

DSA-2725-1 tomcat6 -- Plusieurs vulnérabilités

Date du rapport :
18 juillet 2013
Paquets concernés :
tomcat6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-3544, CVE-2013-2067.
Plus de précisions :

Deux problèmes de sécurité ont été découverts dans la servlet Tomcat et le moteur JSP.

  • CVE-2012-3544

    Le filtre d’entrée pour les encodages de transfert en bloc pourrait déclencher une grande consommation de ressources à l’aide de RC+PAL (CR+LF en anglais), avec pour conséquence un déni de service.

  • CVE-2013-2067

    Le module FormAuthenticator était vulnérable à une fixation de session.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 6.0.35-1+squeeze3. Cette mise à jour fournit aussi les correctifs pour CVE-2012-2733, CVE-2012-3546, CVE-2012-4431, CVE-2012-4534, CVE-2012-5885, CVE-2012-5886 et CVE-2012-5887 qui étaient déjà tous corrigés pour stable.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 6.0.35-6+deb7u1.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets tomcat6.