Säkerhetsbulletin från Debian

DSA-3842-1 tomcat7 -- säkerhetsuppdatering

Rapporterat den:
2017-05-03
Berörda paket:
tomcat7
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-5647, CVE-2017-5648.
Ytterligare information:

Två sårbarheter upptäcktes i tomcat7, en servlet och JSP-motor.

  • CVE-2017-5647

    Pipelinade förfrågningar behandlades felaktigt, vilket kunde resultera i att några svar såg ut att skickas för fel förfrågan.

  • CVE-2017-5648

    Några applikation-listener-anrop utställdes mot fel objekt, vilket tillåter opålitliga applikationer som kör under en SecurityManager att förbigå denna skyddsmekanism och få åtkomst till eller redigera information som associeras med andra webbapplikationer.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 7.0.56-3+deb8u10.

För den kommande stabila utgåvan (Stretch) och instabila distributionen (Sid), har dessa problem rättats i version 7.0.72-3.

Vi rekommenderar att ni uppgraderar era tomcat7-paket.