Bulletin d'alerte Debian

DLA-2407-1 tomcat8 -- Mise à jour de sécurité pour LTS

Date du rapport :
14 octobre 2020
Paquets concernés :
tomcat8
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-13943.
Plus de précisions :

Il a été découvert qu’il existait un problème dans Apache Tomcat 8, un serveur en Java d’applications. Un nombre excessif de flux concurrents pouvait aboutir à ce que des utilisateurs voient des réponses pour des ressources inattendues.

  • CVE-2020-13943

    Si un client HTTP/2 connecté à Apache Tomcat, versions 10.0.0-M1 à 10.0.0-M7, 9.0.0.M1 à 9.0.37 ou 8.5.0 à 8.5.57, outrepassait le nombre maximal de flux concurrents pour une connexion (en violation du protocole HTTP/2), il était possible qu’une requête suivante faite sur cette connexion contienne des en-têtes HTTP — y compris des pseudo-entêtes HTTP/2 — d’une précédente requête plutôt que les entêtes désirés. Cela pouvait conduire à ce que des utilisateurs voient des réponses pour des ressources inattendues.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 8.5.54-0+deb9u4.

Nous vous recommandons de mettre à jour vos paquets tomcat8.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.