LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2279-1 tomcat8

Bulletin d'alerte Debian

DLA-2279-1 tomcat8 -- Mise à jour de sécurité pour LTS

Date du rapport :

12 juillet 2020

Paquets concernés :

tomcat8

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 961209.
Dans le dictionnaire CVE du Mitre : CVE-2020-9484, CVE-2020-11996.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la servlet Tomcat et le moteur JSP.

• CVE-2020-9484

  Lors de l’utilisation d’Apache Tomcat, et que : a) un attaquant pouvait contrôler le contenu et le nom d’un fichier sur le serveur, b) le serveur était configuré pour utiliser le PersistenceManager avec un FileStore, c) le PersistenceManager était configuré avec sessionAttributeValueClassNameFilter="null" (par défaut à moins qu’un SecurityManager n’était utilisé) ou un filtre suffisamment laxiste pour permettre à l’attaquant de fournir un objet à désérialiser et d) l’attaquant connaissait un chemin relatif de fichier vers l’emplacement de stockage utilisé par FileStore pour le fichier dont l’attaquant avait le contrôle, alors, à l’aide d’une requête spécialement contrefaite, l’attaquant était capable de déclencher une exécution de code à distance à l’aide d’une désérialisation du fichier sous son contrôle. Il est à remarquer que toutes les conditions devaient être remplies pour la réussite de l’attaque.

• CVE-2020-11996

  Une séquence contrefaite pour l'occasion de requêtes HTTP/2 envoyées à Apache Tomcat pouvaient déclencher un usage immodéré de CPU pendant plusieurs secondes. Si un nombre suffisamment grand de telles requêtes étaient faites sur des connexions concurrentes HTTP/2, le serveur pouvait ne pas réagir.

Pour Debian 9 stretch, ces problèmes ont été corrigés dans la version 8.5.54-0+deb9u2.

Nous vous recommandons de mettre à jour vos paquets tomcat8.

Pour disposer d'un état détaillé sur la sécurité de tomcat8, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/tomcat8

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.