Bulletin d'alerte Debian

DLA-2077-1 tomcat7 -- Mise à jour de sécurité pour LTS

Date du rapport :
28 janvier 2020
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-12418, CVE-2019-17563.
Plus de précisions :

Deux vulnérabilités de sécurité ont été corrigés dans la servlet Tomcat et le moteur JSP.

  • CVE-2019-12418

    Lorsqu’Apache Tomcat est configuré avec le JMX Remote Lifecycle Listener, un attaquant local sans accès au processus ou aux fichiers de configuration de Tomcat, est capable de manipuler des registres RMI pour réaliser une attaque d’homme du milieu pour capter les noms et mots de passe d’utilisateur utilisés pour accéder à l’interface JMX. L’attaquant peut alors utiliser ces accréditations pour accéder à l’interface JMX et obtenir un contrôle complet de l’instance de Tomcat.

  • CVE-2019-17563

    Lors de l’utilisation de FORM avec authentification Apache Tomcat, il existait une fenêtre étroite où un attaquant pourrait réaliser une attaque de fixation de session. La fenêtre était considérée comme trop étroite pour être exploitable mais, péchant par principe de précaution, ce problème a été traité comme une vulnérabilité de sécurité.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 7.0.56-3+really7.0.99-1.

Nous vous recommandons de mettre à jour vos paquets tomcat7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.