LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1883-1 tomcat8

Bulletin d'alerte Debian

DLA-1883-1 tomcat8 -- Mise à jour de sécurité pour LTS

Date du rapport :

13 août 2019

Paquets concernés :

tomcat8

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 929895, Bogue 898935.
Dans le dictionnaire CVE du Mitre : CVE-2016-5388, CVE-2018-8014, CVE-2019-0221.

Plus de précisions :

Plusieurs problèmes mineurs ont été découverts dans tomcat8, un moteur de servlets et JSP.

• CVE-2016-5388

  Apache Tomcat, lorsque la servlet CGI est activée, suit la RFC 3875, section 4.1.18 et par conséquent ne protège pas les applications contre la présence de données de client non fiable dans la variable d’environnement HTTP_PROXY. Cela pourrait permettre à des attaquants distants de rediriger le trafic HTTP sortant vers un serveur mandataire arbitraire à l’aide d’un en-tête contrefait de mandataire dans une requête HTTP, c'est-à-dire un problème httpoxy. Le servlet cgi possède un paramètre envHttpHeaders pour filtrer les variables d’environnement.

• CVE-2018-8014

  Les réglages par défaut pour le filtre CORS fourni dans Apache Tomcat sont dangereux et activent supportsCredentials pour toutes les origines. Il est attendu que les utilisateurs du filtre CORS l’auront configuré de manière adéquate pour leur environnement plutôt que d’utiliser la configuration par défaut. Par conséquent, il est supposé que la plupart des utilisateurs ne seront pas impactés par ce problème.

• CVE-2019-0221

  La commande SSI printenv dans Apache Tomcat répète les données fournies par l’utilisateur sans les protéger et est, par conséquent, vulnérable à un script intersite (XSS). SSI est désactivé par défaut. La commande printenv est destinée au débogage et est probablement peu présente dans un site web en production.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 8.0.14-1+deb8u15.

Nous vous recommandons de mettre à jour vos paquets tomcat8.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.