Bulletin d'alerte Debian

DLA-1166-2 tomcat7 -- Mise à jour de sécurité pour LTS

Date du rapport :
10 novembre 2017
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 881162.
Plus de précisions :

La mise à jour pour tomcat7, publiée sous DLA-1166-1, causait une régression par laquelle toute requête, y compris pour le document racine (/), renvoyait l’état HTTP 404. Les paquets mis à jour sont maintenant disponibles pour corriger ce problème. Pour référence, le texte de l’annonce originale suit.

Lorsque HTTP PUT était activé (par exemple, à l’aide du réglage du paramètre d’initialisation en lecture seule du servlet par défaut à false), il était possible de téléverser un fichier JSP sur le serveur à l'aide d'une requête contrefaite pour l'occasion. Ce JSP pourrait alors être requis et tout code qu’il contenait serait exécuté par le serveur.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 7.0.28-4+deb7u17.

Nous vous recommandons de mettre à jour vos paquets tomcat7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.