Bulletin d'alerte Debian

DLA-1810-1 tomcat7 -- Mise à jour de sécurité pour LTS

Date du rapport :
30 mai 2019
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-0221.
Plus de précisions :

L’équipe Nightwatch Cybersecurity Research a identifié une vulnérabilité de script intersite (XSS) dans tomcat7. La commande SSI printenv dans Apache Tomcat répète les données fournies par l’utilisateur sans les protéger. SSI est désactivé par défaut. La commande printenv est destinée au débogage et est probablement peu présente dans un site web en production.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 7.0.56-3+really7.0.94-1.

Nous vous recommandons de mettre à jour vos paquets tomcat7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.