Bulletin d'alerte Debian

DLA-2217-1 tomcat7 -- Mise à jour de sécurité pour LTS

Date du rapport :
23 mai 2020
Paquets concernés :
tomcat7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-9484.
Plus de précisions :

Il a été découvert qu’il existait une exécution potentielle de code à distance à l’aide d’une désérialisation dans tomcat7, un serveur pour HTTP et les « servlets » Java.

  • CVE-2020-9484

    Lors de l’utilisation d’Apache Tomcat, versions 10.0.0-M1 à 10.0.0-M4, 9.0.0.M1 à 9.0.34, 8.5.0 à 8.5.54 et 7.0.0 à 7.0.103, si : a) un attaquant était capable de contrôler le contenu et le nom d’un fichier sur le serveur, b) le serveur était configuré pour utiliser PersistenceManager avec un FileStore, c) le PersistenceManager était configuré avec sessionAttributeValueClassNameFilter="null" (la valeur par défaut à moins qu’un SecurityManager soit utilisé) ou qu’un filtre assez faible permettait la désérialisation de l’objet fourni par l’attaquant, d) l’attaquant connaissait le chemin relatif dans l'emplacement de stockage utilisé par FileStore du fichier dont il avait le contrôle, alors, en utilisant une requête spécialement contrefaite, l’attaquant était capable de déclencher une exécution de code à distance par la désérialisation d’un fichier sous son contrôle. Il est à remarquer que toutes les conditions (a à d) devaient être satisfaites pour la réussite de l’attaque.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 7.0.56-3+really7.0.100-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets tomcat7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.