Рекомендация Debian по безопасности

DSA-3614-1 tomcat7 -- обновление безопасности

Дата сообщения:
02.07.2016
Затронутые пакеты:
tomcat7
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-3092.
Более подробная информация:

Команда разработки инфраструктуры TERASOLUNA обнаружила отказ в обслуживании в Apache Commons FileUpload, пакете для облегчения добавления сервлетам и веб-приложениям устойчивых и высокопроизводительных возможностей для загрузки файлов. Удалённый злоумышленник может использовать эту уязвимость, отправляя запросы о загрузке файлов, что приводит к тому, что HTTP-сервер, использующий библиотеку Apache Commons Fileupload, перестаёт отвечать на запросы, что не позволяет серверу обслуживать другие запросы.

Apache Tomcat использует пакет, который является переименованной копией Apache Commons FileUpload для реализации требований по загрузке файлов из спецификации Servlet, поэтому Apache Tomcat также уязвим к отказу в обслуживании.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 7.0.56-3+deb8u3.

В тестируемом выпуске (stretch) эта проблема была исправлена в версии 7.0.70-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 7.0.70-1.

Рекомендуется обновить пакеты tomcat7.