LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1491-1 tomcat8

Bulletin d'alerte Debian

DLA-1491-1 tomcat8 -- Mise à jour de sécurité pour LTS

Date du rapport :

2 septembre 2018

Paquets concernés :

tomcat8

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-1336, CVE-2018-8034.

Plus de précisions :

Deux problèmes de sécurité ont été découverts dans le moteur Tomcat de servlet et de JSP.

• CVE-2018-1336

  Une gestion incorrecte de débordement dans le décodeur UTF-8 pour des caractères supplémentaires peut conduire à une boucle infinie dans le décodeur causant un déni de service.

• CVE-2018-8034

  La vérification du nom d’hôte lors de l’utilisation de TLS avec le client WebSocket manquait. Elle est désormais activée par défaut.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 8.0.14-1+deb8u13.

Nous vous recommandons de mettre à jour vos paquets tomcat8.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.