Bulletin d'alerte Debian

DLA-240-1 libapache-mod-jk -- Mise à jour de sécurité pour LTS

Date du rapport :
9 juin 2015
Paquets concernés :
libapache-mod-jk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 783233.
Dans le dictionnaire CVE du Mitre : CVE-2014-8111.
Plus de précisions :

Un défaut de divulgation d'informations dû au traitement incorrect de directives JkMount/JkUnmount a été découvert dans le module mod_jk d'Apache 2 pour transmettre des requêtes d'un serveur web Apache à Tomcat. Une règle JkUnmount pour un sous-arbre d'une règle JkMount antérieure pourrait être ignorée. Cela pourrait permettre à un attaquant distant d'accéder éventuellement à un artéfact privé dans un arbre qui autrement ne lui aurait pas été accessible.

Pour la distribution squeeze, ce problème a été corrigé dans la version 1:1.2.30-1squeeze2.

Nous vous recommandons de mettre à jour vos paquets libapache-mod-jk.

Cette mise à jour a été préparé par Markus Koschany.