Säkerhetsbulletin från Debian

DSA-3614-1 tomcat7 -- säkerhetsuppdatering

Rapporterat den:
2016-07-02
Berörda paket:
tomcat7
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-3092.
Ytterligare information:

TERASOLUNA Framework Development Team upptäckte en överbelastningssårbarhet i Apache Commons FileUpload, ett paket som gör det enkelt att lägga till robusta, högpresterande filuppladdningsmöjligheter to servlets och webbapplikationer. En fjärrangripare kan dra fördel av denna brist genom att skicka filuppladdningsförfrågningar som orsakar HTTP-servern som använder Apache Commons FileUpload-biblioteket att bli ickeresponsiv, vilket förhindrar servern från att utföra andra förfrågningar.

Apache Tomcat använder en omdöpt paketkopia av Apache Commons FileUpload för att implementera filuppladdningskraven i Servlet-specifikationen och är därmed även sårbar för överbelastningssårbarheten.

För den stabila utgåvan (Jessie) har detta problem rättats i version 7.0.56-3+deb8u3.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 7.0.70-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 7.0.70-1.

Vi rekommenderar att ni uppgraderar era tomcat7-paket.