Bulletin d'alerte Debian

DLA-2133-1 tomcat7 -- Mise à jour de sécurité pour LTS

Date du rapport :
4 mars 2020
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-17569, CVE-2020-1935, CVE-2020-1938.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet Tomcat et le moteur JSP.

  • CVE-2019-17569

    La réécriture dans 7.0.98 introduisait une régression. Le résultat de la régression faisait que les en-têtes Transfer-Encoding non valables étaient traités incorrectement conduisant à une possibilité de dissimulation de requête HTTP si Tomcat résidait derrière un mandataire inverse qui gérait incorrectement l’en-tête Transfer-Encoding non valable d’une certaine manière. Un tel mandataire inverse est considéré comme peu probable.

  • CVE-2020-1935

    Le code d’analyse d’en-têtes HTTP utilisait une manière d’analyse de fin de ligne (EOL) qui permettait à quelques en-têtes HTTP non valables d’être analysés comme valables. Cela conduisait à une possibilité de dissimulation de requête HTTP si Tomcat résidait derrière un mandataire inverse qui gérait incorrectement l’en-tête Transfer-Encoding non valable d’une certaine manière. Un tel mandataire inverse est considéré comme peu probable.

  • CVE-2020-1938

    Lors de l’utilisation du protocole Apache JServ (AJP), une attention doit être portée lors de la confiance dans les connexions entrantes vers Apache Tomcat. Tomcat traite les connexions AJP comme de plus haute confiance que, par exemple, une connexion HTTP similaire. Si de telles connexions sont disponibles à un attaquant, elles peuvent être exploitées de manières surprenantes. Avant sa version 7.0.100, Tomcat était fourni avec un connecteur AJP activé par défaut qui écoutait toutes les adresses IP configurées. Il était prévu (et recommandé dans le guide de sécurité) que ce connecteur soit désactivé s’il n’était pas requis.

    Il est à remarquer que Debian désactive le connecteur AJP par défaut. La mitigation est seulement nécessaire si le port AJP était accessible aux utilisateurs non fiables.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 7.0.56-3+really7.0.100-1.

Nous vous recommandons de mettre à jour vos paquets tomcat7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.