Bulletin d'alerte Debian

DLA-232-1 tomcat6 -- Mise à jour de sécurité pour LTS

Date du rapport :
28 mai 2015
Paquets concernés :
tomcat6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 787010, Bogue 785312, Bogue 785316.
Dans le dictionnaire CVE du Mitre : CVE-2014-0227, CVE-2014-0230, CVE-2014-7810.
Plus de précisions :

Les vulnérabilités suivantes ont été découvertes dans Tomcat 6 d'Apache :

  • CVE-2014-0227

    L'équipe de sécurité de Tomcat a identifié qu'il était possible de conduire des attaques de dissimulation de requête HTTP ou provoquer un déni de service en envoyant des données mal formées.

  • CVE-2014-0230

    AntBean@secdig, de l'équipe de sécurité de Baidu, a révélé qu'il était possible de provoquer une attaque par déni de service limitée en fournissant une série d’essais d’envoi avorté de données.

  • CVE-2014-7810

    L'équipe de sécurité de Tomcat a identifié que des applications web malveillantes pourraient utiliser l'Expression Language pour contourner le gestionnaire de sécurité.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans tomcat6 version 6.0.41-2+squeeze7.