LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-232-1 tomcat6

Bulletin d'alerte Debian

DLA-232-1 tomcat6 -- Mise à jour de sécurité pour LTS

Date du rapport :

28 mai 2015

Paquets concernés :

tomcat6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 787010, Bogue 785312, Bogue 785316.
Dans le dictionnaire CVE du Mitre : CVE-2014-0227, CVE-2014-0230, CVE-2014-7810.

Plus de précisions :

Les vulnérabilités suivantes ont été découvertes dans Tomcat 6 d'Apache :

• CVE-2014-0227

  L'équipe de sécurité de Tomcat a identifié qu'il était possible de conduire des attaques de dissimulation de requête HTTP ou provoquer un déni de service en envoyant des données mal formées.

• CVE-2014-0230

  AntBean@secdig, de l'équipe de sécurité de Baidu, a révélé qu'il était possible de provoquer une attaque par déni de service limitée en fournissant une série d’essais d’envoi avorté de données.

• CVE-2014-7810

  L'équipe de sécurité de Tomcat a identifié que des applications web malveillantes pourraient utiliser l'Expression Language pour contourner le gestionnaire de sécurité.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans tomcat6 version 6.0.41-2+squeeze7.