Bulletin d'alerte Debian

DLA-1400-1 tomcat7 -- Mise à jour de sécurité pour LTS

Date du rapport :
27 juin 2018
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 802312, Bogue 898935.
Dans le dictionnaire CVE du Mitre : CVE-2017-7674, CVE-2017-12616, CVE-2018-1304, CVE-2018-1305, CVE-2018-8014.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans le servlet Tomcat et le moteur JSP.

  • CVE-2017-7674

    Le filtre CORS dans Apache Tomcat n'ajoutait pas d'en-tête HTTP « Vary » indiquant que la réponse dépendait de l’origine. Cela pourrait conduire à l'empoisonnement du cache côté client et côté serveur dans certaines circonstances.

  • CVE-2017-12616

    Lors de l’utilisation de VirtualDirContext avec Tomcat d’Apache, il était possible de contourner les contraintes de sécurité et/ou de voir le code source de JSP pour des ressources servies par le VirtualDirContext en utilisant une requête contrefaite pour l'occasion.

  • CVE-2018-1304

    Le modèle d’URL de "" (chaîne vide), qui correspond exactement au contexte du superutilisateur, n’était pas géré correctement dans Tomcat d’Apache lorsqu’il était utilisé comme partie de la définition de restriction. Cela faisait que la restriction était ignorée. Il était, par conséquent, possible pour des utilisateurs non autorisés d’acquérir l’accès aux ressources de l’application web qui auraient dû être protégées. Seules les restrictions de sécurité avec comme modèle d’URL chaîne vide sont touchées.

  • CVE-2018-1305

    Des restrictions de sécurité définies par des annotations de servlet dans Tomcat d’Apache étaient seulement appliquées que lorsqu’un servlet était chargé. À cause des restrictions de sécurité définies de cette façon appliquées au modèle d’URL et n’importe quelle URL en découlant, il était possible — en fonction de l’ordre de chargement des servlets — que quelques restrictions de sécurité ne soient appliquées. Cela pourrait avoir exposé des ressources à des utilisateurs n’ayant pas de droit d’accès.

  • CVE-2018-8014

    Les réglages par défaut pour le filtre CORS fourni dans Tomcat d’Apache ne sont par sûrs et autorisent supportsCredentials pour toutes les origines. Il était prévu que les utilisateurs du filtre CORS devaient l’avoir configuré de manière appropriée à leur environnement plutôt que de l’utiliser avec la configuration par défaut. Par conséquent, il est espéré que la plupart des utilisateurs n’étaient pas impactés par ce problème.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 7.0.56-3+really7.0.88-1.

Nous vous recommandons de mettre à jour vos paquets tomcat7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.