LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-91-1 tomcat6

Bulletin d'alerte Debian

DLA-91-1 tomcat6 -- Mise à jour de sécurité pour LTS

Date du rapport :

23 novembre 2014

Paquets concernés :

tomcat6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 299635, Bogue 608286, Bogue 654136, Bogue 659748, Bogue 664072, Bogue 665393, Bogue 666256, Bogue 668761.
Dans le dictionnaire CVE du Mitre : CVE-2012-3439, CVE-2013-1571, CVE-2013-4286, CVE-2013-4322, CVE-2013-4590, CVE-2014-0033.

Plus de précisions :

Il s’agit d’une mise à niveau pour tomcat 6.0.35 (la version précédemment disponible dans Squeeze) vers la version 6.0.41. La liste complète des modifications entre ces versions peut être consultée dans le journal des modifications de l’amont, disponible en ligne à http://tomcat.apache.org/tomcat-6.0-doc/changelog.html

Cette mise à niveau fournit les corrections, précédemment non disponibles pour Squeeze, pour les problèmes de sécurité suivants :

• CVE-2014-0033

  Empêcher des attaquants distants de mener des attaques de fixation de session à l’aide d’URL contrefaits.

• CVE-2013-4590

  Empêcher des fuites d'informations de la composition interne de Tomcat.

• CVE-2013-4322

  Empêcher des attaquants distants de mener des attaques par déni de service.

• CVE-2013-4286

  Rejeter des requêtes avec plusieurs en-têtes content-length ou avec un en-tête content-length lorsque l’encodage de transfert en bloc est utilisé.

• CVE-2013-1571

  Éviter CVE-2013-1571 lors de la création de Javadoc.

• CVE-2012-3439

  Diverses améliorations pour l’authentifiant DIGEST.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans tomcat6 version 6.0.41-2+squeeze5

Merci à Tony Mancill pour son grand travail pour cette mise à jour !