Bulletin d'alerte Debian

DSA-3842-1 tomcat7 -- Mise à jour de sécurité

Date du rapport :
3 mai 2017
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-5647, CVE-2017-5648.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans tomcat7, un moteur de servlets et JSP.

  • CVE-2017-5647

    Les requêtes acheminées étaient incorrectement traitées, ce qui pourrait résulter en quelques réponses apparaissant envoyées pour la mauvaise requête.

  • CVE-2017-5648

    Certains appels d'écouteurs (listeners) d'applications étaient émis pour les mauvais objets, permettant à des applications non fiables fonctionnant sous un SecurityManager de contourner ce mécanisme de protection et d'accéder ou de modifier des informations associées à d'autres applications web.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 7.0.56-3+deb8u10.

Pour la distribution stable à venir (Stretch) et unstable (Sid), ces problèmes ont été corrigés dans la version 7.0.72-3.

Nous vous recommandons de mettre à jour vos paquets tomcat7.