LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2286-1 tomcat8

Bulletin d'alerte Debian

DLA-2286-1 tomcat8 -- Mise à jour de sécurité pour LTS

Date du rapport :

22 juillet 2020

Paquets concernés :

tomcat8

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-13934, CVE-2020-13935.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet Tomcat et le moteur JSP.

• CVE-2020-13934

  Une connexion h2c directe vers Apache Tomcat ne supprime pas le processus HTTP/1.1 après la mise à niveau vers HTTP/2. Si un nombre suffisant de ce genre de requête était fait, une OutOfMemoryException pouvait se produire, conduisant à un déni de service.

• CVE-2020-13935

  La longueur des données utiles dans une trame WebSocket n’était pas validée correctement dans Apache Tomcat. Des longueurs non autorisées pouvaient déclencher une boucle infinie. Plusieurs requêtes avec des longueurs non autorisées de données utiles pouvaient conduire à un déni de service.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 8.5.54-0+deb9u3.

Nous vous recommandons de mettre à jour vos paquets tomcat8.

Pour disposer d'un état détaillé sur la sécurité de tomcat8, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/tomcat8

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.