Bulletin d'alerte Debian

DLA-529-1 tomcat7 -- Mise à jour de sécurité pour LTS

Date du rapport :
26 juin 2016
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-3092.
Plus de précisions :

Une vulnérabilité de déni de service a été identifiée dans Commons FileUpload qui se produisait quand la longueur des limites d'entité fragmentée était juste inférieure à la taille du tampon (4096 octets) utilisé pour lire le fichier envoyé. Cela faisait que le processus d'envoi de fichier acceptait plusieurs commandes de taille plus grande que si les limites avaient la longueur habituelle de dizaines d'octets de long.

Apache Tomcat utilise une copie renommée du paquet Apache Commons FileUpload pour implémenter les besoins d'envoi de fichiers de la spécification de la Servlet, et il est donc aussi sensible à une vulnérabilité de déni de service.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 7.0.28-4+deb7u5.

Nous vous recommandons de mettre à jour vos paquets tomcat7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.