LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2495-1 tomcat8

Bulletin d'alerte Debian

DLA-2495-1 tomcat8 -- Mise à jour de sécurité pour LTS

Date du rapport :

16 décembre 2020

Paquets concernés :

tomcat8

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-17527.

Plus de précisions :

Il a été découvert qu’Apache Tomcat dans ses versions 8.5.0 à 8.5.59 pourrait réutiliser la valeur d’en-tête de requête HTTP du flux précédemment reçu sur une HTTP/2 pour la requête associée au flux suivant. Quoique que cela devrait vraisemblablement conduire à une erreur et à la fermeture de la connexion, il est possible que cette information puisse fuiter entre les requêtes.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 8.5.54-0+deb9u5.

Nous vous recommandons de mettre à jour vos paquets tomcat8.

Pour disposer d'un état détaillé sur la sécurité de tomcat8, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/tomcat8.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.