Debians sikkerhedsbulletin

DSA-3614-1 tomcat7 -- sikkerhedsopdatering

Rapporteret den:
2. jul 2016
Berørte pakker:
tomcat7
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-3092.
Yderligere oplysninger:

TERASOLUNA Framework Development Team opdagede en lammelsesangrebsårbarhed (denial of service) i Apache Commons FileUpload, en pakke der gør det let at tilføje en robust og højtydende filuploadmulighed til servlets og webapplikationer. En fjernangriber kunne drage nytte af fejlen ved at sende filuploadforespørgsler, som medførte at HTTP-serveren, som anvender Apache Commons Fileupload-biblioteket, holdt op med at svare, hvilket forhindrede serveren i at betjene andre forespørgsler.

Apache Tomcat anvender en i pakken omdøbt kopi af Apache Commons FileUpload til implementering af filuploadkravene i Servlet-specifikationen, og er derfor også sårbar over for lammelsesangrebssårbarheden.

I den stabile distribution (jessie), er dette problem rettet i version 7.0.56-3+deb8u3.

I distributionen testing (stretch), er dette problem rettet i version 7.0.70-1.

I den ustabile distribution (sid), er dette problem rettet i version 7.0.70-1.

Vi anbefaler at du opgraderer dine tomcat7-pakker.