LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1301-1 tomcat7

Bulletin d'alerte Debian

DLA-1301-1 tomcat7 -- Mise à jour de sécurité pour LTS

Date du rapport :

6 mars 2018

Paquets concernés :

tomcat7

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-1304, CVE-2018-1305.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de servlet Java Tomcat et le moteur JSP.

• CVE-2018-1304

  Le modèle d’URL de "" (chaîne vide), qui correspond exactement au contexte du superutilisateur, n’était pas géré correctement dans Tomcat d’Apache lorsqu’il était utilisé comme partie de la définition de restriction. Cela faisait que la restriction était ignorée. Il était, par conséquent, possible pour des utilisateurs non autorisés d’acquérir l’accès aux ressources de l’application web qui auraient dû être protégées. Seules les restrictions de sécurité avec comme modèle d’URL une chaîne vide sont touchées.

• CVE-2018-1305

  Des restrictions de sécurité définies par des annotations de servlet dans Tomcat d’Apache étaient seulement appliquées lorsqu’un servlet était chargé. À cause des restrictions de sécurité définies de cette façon et appliquées au modèle d’URL et de n’importe quelle URL en découlant, il était possible — en fonction de l’ordre de chargement des servlets — que quelques restrictions de sécurité ne soient appliquées. Cela pourrait avoir exposé des ressources à des utilisateurs n’ayant pas de droit d’accès.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 7.0.28-4+deb7u18.

Nous vous recommandons de mettre à jour vos paquets tomcat7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.