Bulletin d'alerte Debian
DLA-924-1 tomcat7 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 28 avril 2017
- Paquets concernés :
- tomcat7
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 860068.
Dans le dictionnaire CVE du Mitre : CVE-2017-5647, CVE-2017-5648. - Plus de précisions :
-
Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de servlet et JSP de Tomcat.
- CVE-2017-5647
Un bogue dans le traitement de requêtes en pipeline lorsque
send file
était utilisé, aboutissait à ce que ces requêtes soient perdues lorsque le traitementsend file
de la précédente requête finissait. Cela peut aboutir à des réponses apparaissant être envoyées à la mauvaise requête. - CVE-2017-5648
Il a été remarqué que certains appels d’écouteurs d’application (
listeners
) n’utilisaient pas l’objet façade approprié. Lors de l’exécution d’une application non fiable sous SecurityManager, il était alors possible pour cette application non fiable de conserver une référence à l’objet de la requête ou de la réponse et donc d'accéder ou de modifier les informations associées avec une autre application web.
Pour Debian 7
Wheezy
, ces problèmes ont été corrigés dans la version 7.0.28-4+deb7u12.Nous vous recommandons de mettre à jour vos paquets tomcat7.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2017-5647