Bulletin d'alerte Debian
DLA-240-1 libapache-mod-jk -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 9 juin 2015
- Paquets concernés :
- libapache-mod-jk
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 783233.
Dans le dictionnaire CVE du Mitre : CVE-2014-8111. - Plus de précisions :
-
Un défaut de divulgation d'informations dû au traitement incorrect de directives JkMount/JkUnmount a été découvert dans le module mod_jk d'Apache 2 pour transmettre des requêtes d'un serveur web Apache à Tomcat. Une règle JkUnmount pour un sous-arbre d'une règle JkMount antérieure pourrait être ignorée. Cela pourrait permettre à un attaquant distant d'accéder éventuellement à un artéfact privé dans un arbre qui autrement ne lui aurait pas été accessible.
Pour la distribution squeeze, ce problème a été corrigé dans la version 1:1.2.30-1squeeze2.
Nous vous recommandons de mettre à jour vos paquets libapache-mod-jk.
Cette mise à jour a été préparé par Markus Koschany.