Bulletin d'alerte Debian

DLA-1450-1 tomcat8 -- Mise à jour de sécurité pour LTS

Date du rapport :
29 juillet 2018
Paquets concernés :
tomcat8
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 802312.
Dans le dictionnaire CVE du Mitre : CVE-2018-1304, CVE-2018-1305.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de servlet et JSP de Tomcat.

  • CVE-2018-1304

    Le modèle d’URL de "" (la chaîne vide) qui correspond exactement au contexte du superutilisateur, n’était pas géré correctement dans Tomcat d’Apache lorsqu’utilisé comme partie de la définition de restriction. Cela faisait que la restriction était ignorée. Il était, par conséquent, possible pour des utilisateurs non autorisés d’acquérir l’accès aux ressources de l’application web qui auraient dû être protégées. Seules les restrictions de sécurité avec comme modèle d’URL la chaîne vide sont touchées.

  • CVE-2018-1305

    Des restrictions de sécurité définies par des annotations de servlet dans Tomcat d’Apache étaient seulement appliquées que lorsqu’un servlet était chargé. À cause des restrictions de sécurité définies de cette façon appliquées au modèle d’URL et n’importe quelle URL en découlant, il était possible — en fonction de l’ordre de chargement des servlets — que quelques restrictions de sécurité ne soient appliquées. Cela pourrait avoir exposé des ressources à des utilisateurs n’ayant pas de droit d’accès.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 8.0.14-1+deb8u12.

Nous vous recommandons de mettre à jour vos paquets tomcat8.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.