Bulletin d'alerte Debian

DLA-91-1 tomcat6 -- Mise à jour de sécurité pour LTS

Date du rapport :
23 novembre 2014
Paquets concernés :
tomcat6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 299635, Bogue 608286, Bogue 654136, Bogue 659748, Bogue 664072, Bogue 665393, Bogue 666256, Bogue 668761.
Dans le dictionnaire CVE du Mitre : CVE-2012-3439, CVE-2013-1571, CVE-2013-4286, CVE-2013-4322, CVE-2013-4590, CVE-2014-0033.
Plus de précisions :

Il s’agit d’une mise à niveau pour tomcat 6.0.35 (la version précédemment disponible dans Squeeze) vers la version 6.0.41. La liste complète des modifications entre ces versions peut être consultée dans le journal des modifications de l’amont, disponible en ligne à http://tomcat.apache.org/tomcat-6.0-doc/changelog.html

Cette mise à niveau fournit les corrections, précédemment non disponibles pour Squeeze, pour les problèmes de sécurité suivants :

  • CVE-2014-0033

    Empêcher des attaquants distants de mener des attaques de fixation de session à l’aide d’URL contrefaits.

  • CVE-2013-4590

    Empêcher des fuites d'informations de la composition interne de Tomcat.

  • CVE-2013-4322

    Empêcher des attaquants distants de mener des attaques par déni de service.

  • CVE-2013-4286

    Rejeter des requêtes avec plusieurs en-têtes content-length ou avec un en-tête content-length lorsque l’encodage de transfert en bloc est utilisé.

  • CVE-2013-1571

    Éviter CVE-2013-1571 lors de la création de Javadoc.

  • CVE-2012-3439

    Diverses améliorations pour l’authentifiant DIGEST.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans tomcat6 version 6.0.41-2+squeeze5

Merci à Tony Mancill pour son grand travail pour cette mise à jour !