Debians sikkerhedsbulletin

DSA-3842-1 tomcat7 -- sikkerhedsopdatering

Rapporteret den:
3. maj 2017
Berørte pakker:
tomcat7
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-5647, CVE-2017-5648.
Yderligere oplysninger:

To sårbarheder blev opdaget i tomcat7, en servlet- og JSP-motor.

  • CVE-2017-5647

    Pipelinede forespørgsler blev behandlet på forkert vis, hvilket kunne medføre, at nogle svar lod til at blive sendt til den forkerte forespørgsel.

  • CVE-2017-5648

    Nogle applikations-listeners-kald blev udstedt mod de forkerte objekter, hvilket gjorde det muligt for applikationer, der ikke er tillid til, at køre under en SecurityManager for at omgå den beskyttelsesmekanisme og tilgå eller ændre oplysninger knyttet til andre webapplikationer.

I den stabile distribution (jessie), er disse problemer rettet i version 7.0.56-3+deb8u10.

I den kommende stabile distribution (stretch) og i den ustabile distribution (sid), er disse problemer rettet i version 7.0.72-3.

Vi anbefaler at du opgraderer dine tomcat7-pakker.