Bulletin d'alerte Debian
DLA-232-1 tomcat6 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 28 mai 2015
- Paquets concernés :
- tomcat6
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 787010, Bogue 785312, Bogue 785316.
Dans le dictionnaire CVE du Mitre : CVE-2014-0227, CVE-2014-0230, CVE-2014-7810. - Plus de précisions :
-
Les vulnérabilités suivantes ont été découvertes dans Tomcat 6 d'Apache :
- CVE-2014-0227
L'équipe de sécurité de Tomcat a identifié qu'il était possible de conduire des attaques de dissimulation de requête HTTP ou provoquer un déni de service en envoyant des données mal formées.
- CVE-2014-0230
AntBean@secdig, de l'équipe de sécurité de Baidu, a révélé qu'il était possible de provoquer une attaque par déni de service limitée en fournissant une série d’essais d’envoi avorté de données.
- CVE-2014-7810
L'équipe de sécurité de Tomcat a identifié que des applications web malveillantes pourraient utiliser l'Expression Language pour contourner le gestionnaire de sécurité.
Pour Debian 6
Squeeze
, ces problèmes ont été corrigés dans tomcat6 version 6.0.41-2+squeeze7. - CVE-2014-0227