Bulletin d'alerte Debian

DLA-1609-1 libapache-mod-jk -- Mise à jour de sécurité pour LTS

Date du rapport :
17 décembre 2018
Paquets concernés :
libapache-mod-jk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-11759.
Plus de précisions :

Une vulnérabilité a été découverte dans libapache-mod-jk, le connecteur d’Apache 2 pour Tomcat, le moteur de servlet Java.

Le connecteur libapache-mod-jk est susceptible à une divulgation d'informations et augmentation de droits à cause d’un mauvais traitement de normalisation d’URL.

La nature du correctif demande que libapache-mod-jk dans Debian 8 Jessie soit mis à jour vers la dernière publication amont. Pour référence, les modifications de l’amont en fonction de chaque publication sont documentées ici :

http://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.2.46-0+deb8u1.

Nous vous recommandons de mettre à jour vos paquets libapache-mod-jk.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.