Bulletin d'alerte Debian

DLA-996-1 tomcat7 -- Mise à jour de sécurité pour LTS

Date du rapport :
20 juin 2017
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 864447.
Dans le dictionnaire CVE du Mitre : CVE-2017-5664.
Plus de précisions :

Le mécanisme de page d’erreur de la spécification Java Servlet requiert que, quand une erreur se produit et qu’une page d’erreur est configurée pour l’erreur produite, la requête et la réponse originales sont transmises à la page d’erreur. Cela signifie que la requête est présentée à la page d’erreur avec la méthode HTTP originale. Si la page d’erreur est un fichier statique, le comportement attendu est de servir le contenu du fichier comme le traitement d’une requête GET, quelque soit la méthode HTTP réelle. Le Servlet par défaut dans Apache Tomcat ne le réalisait pas. Selon la requête originale, cela pourrait conduire à des résultats inattendus et indésirables pour les pages d’erreur statiques incluant, si le Servlet par défaut est configuré pour autoriser les écritures, le remplacement ou la suppression de la page d’erreur personnalisée.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 7.0.28-4+deb7u14.

Nous vous recommandons de mettre à jour vos paquets tomcat7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.