Bulletin d'alerte Debian
DLA-91-1 tomcat6 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 23 novembre 2014
- Paquets concernés :
- tomcat6
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 299635, Bogue 608286, Bogue 654136, Bogue 659748, Bogue 664072, Bogue 665393, Bogue 666256, Bogue 668761.
Dans le dictionnaire CVE du Mitre : CVE-2012-3439, CVE-2013-1571, CVE-2013-4286, CVE-2013-4322, CVE-2013-4590, CVE-2014-0033. - Plus de précisions :
-
Il s’agit d’une mise à niveau pour tomcat 6.0.35 (la version précédemment disponible dans Squeeze) vers la version 6.0.41. La liste complète des modifications entre ces versions peut être consultée dans le journal des modifications de l’amont, disponible en ligne à http://tomcat.apache.org/tomcat-6.0-doc/changelog.html
Cette mise à niveau fournit les corrections, précédemment non disponibles pour Squeeze, pour les problèmes de sécurité suivants :
- CVE-2014-0033
Empêcher des attaquants distants de mener des attaques de fixation de session à l’aide d’URL contrefaits.
- CVE-2013-4590
Empêcher des fuites d'informations de la
composition interne de Tomcat
. - CVE-2013-4322
Empêcher des attaquants distants de mener des attaques par déni de service.
- CVE-2013-4286
Rejeter des requêtes avec plusieurs en-têtes
content-length
ou avec un en-têtecontent-length
lorsque l’encodage de transfert en bloc est utilisé. - CVE-2013-1571
Éviter CVE-2013-1571 lors de la création de Javadoc.
- CVE-2012-3439
Diverses améliorations pour l’authentifiant DIGEST.
Pour Debian 6
Squeeze
, ces problèmes ont été corrigés dans tomcat6 version 6.0.41-2+squeeze5Merci à Tony Mancill pour son grand travail pour cette mise à jour !
- CVE-2014-0033