Bulletin d'alerte Debian
DLA-2407-1 tomcat8 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 14 octobre 2020
- Paquets concernés :
- tomcat8
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2020-13943.
- Plus de précisions :
-
Il a été découvert qu’il existait un problème dans Apache Tomcat 8, un serveur en Java d’applications. Un nombre excessif de flux concurrents pouvait aboutir à ce que des utilisateurs voient des réponses pour des ressources inattendues.
- CVE-2020-13943
Si un client HTTP/2 connecté à Apache Tomcat, versions 10.0.0-M1 à 10.0.0-M7, 9.0.0.M1 à 9.0.37 ou 8.5.0 à 8.5.57, outrepassait le nombre maximal de flux concurrents pour une connexion (en violation du protocole HTTP/2), il était possible qu’une requête suivante faite sur cette connexion contienne des en-têtes HTTP — y compris des pseudo-entêtes HTTP/2 — d’une précédente requête plutôt que les entêtes désirés. Cela pouvait conduire à ce que des utilisateurs voient des réponses pour des ressources inattendues.
Pour Debian 9
Stretch
, ces problèmes ont été corrigés dans la version 8.5.54-0+deb9u4.Nous vous recommandons de mettre à jour vos paquets tomcat8.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2020-13943