LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-240-1 libapache-mod-jk

Bulletin d'alerte Debian

DLA-240-1 libapache-mod-jk -- Mise à jour de sécurité pour LTS

Date du rapport :

9 juin 2015

Paquets concernés :

libapache-mod-jk

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 783233.
Dans le dictionnaire CVE du Mitre : CVE-2014-8111.

Plus de précisions :

Un défaut de divulgation d'informations dû au traitement incorrect de directives JkMount/JkUnmount a été découvert dans le module mod_jk d'Apache 2 pour transmettre des requêtes d'un serveur web Apache à Tomcat. Une règle JkUnmount pour un sous-arbre d'une règle JkMount antérieure pourrait être ignorée. Cela pourrait permettre à un attaquant distant d'accéder éventuellement à un artéfact privé dans un arbre qui autrement ne lui aurait pas été accessible.

Pour la distribution squeeze, ce problème a été corrigé dans la version 1:1.2.30-1squeeze2.

Nous vous recommandons de mettre à jour vos paquets libapache-mod-jk.

Cette mise à jour a été préparé par Markus Koschany.