Рекомендация Debian по безопасности

DSA-3842-1 tomcat7 -- обновление безопасности

Дата сообщения:
03.05.2017
Затронутые пакеты:
tomcat7
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-5647, CVE-2017-5648.
Более подробная информация:

В tomcat7, сервлете и движке JSP, были обнаружены две уязвимости.

  • CVE-2017-5647

    Конвейерно обрабатываемые запросы обрабатываются неправильно, что может приводить к тому, что некоторые ответы отмечаются для отправки в ответ на несоответствующие запросы.

  • CVE-2017-5648

    Некоторые вызовы приложений-приёмников выполняются для несоответствующих объектов, что позволяет недоверенным приложениям, запущенным под управлением SecurityManager, обходить механизм защиты и получать доступ или даже изменять информацию, связанную с другими веб-приложениями.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 7.0.56-3+deb8u10.

В готовящемся стабильном (stretch) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 7.0.72-3.

Рекомендуется обновить пакеты tomcat7.