Bulletin d'alerte Debian

DLA-924-1 tomcat7 -- Mise à jour de sécurité pour LTS

Date du rapport :
28 avril 2017
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 860068.
Dans le dictionnaire CVE du Mitre : CVE-2017-5647, CVE-2017-5648.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de servlet et JSP de Tomcat.

  • CVE-2017-5647

    Un bogue dans le traitement de requêtes en pipeline lorsque send file était utilisé, aboutissait à ce que ces requêtes soient perdues lorsque le traitement send file de la précédente requête finissait. Cela peut aboutir à des réponses apparaissant être envoyées à la mauvaise requête.

  • CVE-2017-5648

    Il a été remarqué que certains appels d’écouteurs d’application (listeners) n’utilisaient pas l’objet façade approprié. Lors de l’exécution d’une application non fiable sous SecurityManager, il était alors possible pour cette application non fiable de conserver une référence à l’objet de la requête ou de la réponse et donc d'accéder ou de modifier les informations associées avec une autre application web.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 7.0.28-4+deb7u12.

Nous vous recommandons de mettre à jour vos paquets tomcat7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.