Bulletin d'alerte Debian

DLA-629-1 jackrabbit -- Mise à jour de sécurité pour LTS

Date du rapport :
18 septembre 2016
Paquets concernés :
jackrabbit
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 838204.
Dans le dictionnaire CVE du Mitre : CVE-2016-6801.
Plus de précisions :

Lukas Reschke a découvert que Jackrabbit d'Apache, une implémentation de dépôt de contenu (« Content Repository ») pour Java, était vulnérable à des attaques par contrefaçon de requête intersite (CSRF) dans le module webdav de Jackrabbit.

La vérification par la CSRF de Content-Type des requêtes POST ne gérait pas l'absence de champs d'en-tête Content-Type, pas plus que les variations dans la valeur du champ en rapport avec la casse (majuscule/minuscule) ou des paramètres optionnels. Cela pourrait être exploité pour créer une ressource au moyen d'une CSRF.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.3.6-1+deb7u2.

Nous vous recommandons de mettre à jour vos paquets jackrabbit.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.