Bulletin d'alerte Debian

DSA-2897-1 tomcat7 -- Mise à jour de sécurité

Date du rapport :
8 avril 2014
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-2067, CVE-2013-2071, CVE-2013-4286, CVE-2013-4322, CVE-2014-0050.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans le servlet Tomcat et le moteur JSP :

  • CVE-2013-2067

    L'authentification par formulaire associe la requête la plus récente exigeant une authentification à la session actuelle. En envoyant une requête de façon répétée pour une ressource authentifiée pendant que la victime remplit le formulaire d'identification, un attaquant pourrait injecter une requête qui pourrait être exécutée avec les certificats de la victime.

  • CVE-2013-2071

    Une exception à l'exécution dans AsyncListener.onComplete() empêche la requête d'être recyclée. Cela peut dévoiler des éléments de la requête précédente dans la requête actuelle.

  • CVE-2013-4286

    Rejet des requêtes avec de multiples en-têtes de longueur de contenu ou avec un en-tête de longueur de contenu quand l'encodage en bloc est utilisé.

  • CVE-2013-4322

    Lors du traitement d'une requête soumise en utilisant l'encodage de transfert en bloc, Tomcat ignore mais ne limite pas les extensions incluses. Cela permet à un client de réaliser un déni de service limité en envoyant une quantité illimitée de données au serveur.

  • CVE-2014-0050

    Les requêtes à parties multiples (Multipart) avec un en-tête de type de contenu malformé pourrait déclencher une boucle infinie provoquant un déni de service.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 7.0.28-4+deb7u1.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 7.0.52-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.0.52-1.

Nous vous recommandons de mettre à jour vos paquets tomcat7.