Bulletin d'alerte Debian

DLA-435-1 tomcat6 -- Mise à jour de sécurité pour LTS

Date du rapport :
27 février 2016
Paquets concernés :
tomcat6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-5174, CVE-2015-5345, CVE-2015-5351, CVE-2016-0706, CVE-2016-0714, CVE-2016-0763.
Plus de précisions :

Tomcat 6, une implémentation des spécifications dans la servlet et JSp (JavaServer Pages ) de Java, et un pur environnement de serveur Java, était affecté par de nombreux problèmes de sécurité avant la version 6.0.45.

  • CVE-2015-5174

    Une vulnérabilité de traversée de répertoire dans RequestUtil.java dans Tomcat d’Apache versions 6.x avant 6.0.45, 7.x avant 7.0.65, et 8.x avant 8.0.27, permet à des attaquants distants authentifiés de contourner les restrictions voulues de SecurityManager, et d’obtenir une liste du répertoire parent à l'aide d'un « /.. » (barre oblique point point) dans un nom de chemin utilisé par une application web avec un appel getResource, getResourceAsStream ou getResourcePaths, comme montré dans le répertoire $CATALINA_BASE/webapps.

  • CVE-2015-5345

    Le composant Mapper dans Tomcat d’Apache versions 6.x avant 6.0.45, 7.x avant 7.0.67, 8.x avant 8.0.30 et 9.x avant 9.0.0.M2, traite les redirections avant de considérer les contraintes et filtres de sécurité, ce qui permet aux attaquants distants de connaitre l’existence d’un répertoire à l'aide d'un URL auquel manque un caractère de barre oblique inverse à la fin.

  • CVE-2015-5351

    Les applications Manager et Host Manager dans Tomcat d’Apache établissent des sessions et envoient des jetons CSRF pour de nouvelles requêtes arbitraires, permettant aux attaquants distants de contourner un mécanisme de protection CSRF en utilisant un jeton.

  • CVE-2016-0706

    Tomcat d’Apache versions 6.x avant 6.0.45, 7.x avant 7.0.68, 8.x avant 8.0.31, et 9.x avant 9.0.0.M2, ne place pas org.apache.catalina.manager.StatusManagerServlet dans la liste org/apache/catalina/core/RestrictedServlets.properties. Cela permet à des utilisateurs distants authentifiés de contourner les restrictions voulues de SecurityManager et lire des requêtes HTTP arbitraires, et par la suite découvrir les valeurs des ID de sessions, à l'aide d'une application web contrefaite.

  • CVE-2016-0714

    L’implémentation de la persistance de session dans Tomcat d’Apache versions 6.x avant 6.0.45, 7.x avant 7.0.68, 8.x avant 8.0.31, et 9.x avant 9.0.0.M2, ne gère pas correctement les attributs de session. Cela permet à des utilisateurs distants authentifiés de contourner les restrictions voulues de SecurityManager, et d’exécuter du code arbitraire dans un contexte privilégié à l'aide d'une application web plaçant un objet contrefait dans une session.

  • CVE-2016-0763

    La méthode setGlobalContext dans org/apache/naming/factory /ResourceLinkFactory.java dans Tomcat d’Apache ne tient pas compte si les appelants de ResourceLinkFactory.setGlobalContext sont autorisés, permettant à des utilisateurs distants authentifiés de contourner les restrictions voulues de SecurityManager et de lire ou écrire des données arbitraires d’application, ou de causer un déni de service (interruption d’application) à l'aide d'une application web qui établit un contexte global contrefait.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 6.0.45-1~deb6u1.

Nous vous recommandons de mettre à jour vos paquets tomcat6.