Bulletin d'alerte Debian

DLA-779-1 tomcat7 -- Mise à jour de sécurité pour LTS

Date du rapport :
10 janvier 2017
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 849949.
Dans le dictionnaire CVE du Mitre : CVE-2016-8745.
Plus de précisions :

Un bogue dans la gestion d'erreur du code d'envoi d'un fichier pour le connecteur NIO HTTP avait pour résultat que l'objet Processeur courant soit ajouté au cache du Processeur plusieurs fois. Par conséquence, le Processeur pouvait être utilisé pour des requêtes concurrentes. Le partage d'un Processeur peut amener à une fuite d'informations entre les requêtes incluant, de façon non exhaustive, l'ID de session et le corps de la réponse.

De plus, cette mise à jour résout une régression lors de l'exécution de Tomcat 7 avec le SecurityManager activé, et ce, en raison d'une correction incomplète pour CVE-2016-6816.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 7.0.28-4+deb7u9.

Nous vous recommandons de mettre à jour vos paquets tomcat7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.