Bulletin d'alerte Debian

DLA-2594-1 tomcat8 -- Mise à jour de sécurité pour LTS

Date du rapport :
16 mars 2021
Paquets concernés :
tomcat8
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-24122, CVE-2021-25122, CVE-2021-25329.
Plus de précisions :

Trois problèmes de sécurité ont été détectés dans tomcat8.

  • CVE-2021-24122

    Lors du service de ressources à partir d’un emplacement réseau utilisant le système de fichiers NTFS, Apache Tomcat, des versions 8.5.0 à 8.5.59, est susceptible de divulguer du code source JSP dans certaines configurations. La cause principale est le comportement inattendu de File.getCanonicalPath() de l’API JRE, qui à son tour est provoqué par le comportement incohérent de l’API Windows (FindFirstFileW) dans certaines circonstances.

  • CVE-2021-25122

    Lors de la réponse à de nouvelles requêtes de connexion h2c, Apache Tomcat pourrait dupliquer des en-têtes de requête et une partie limitée du corps d’une requête à une autre, signifiant qu’un utilisateur A et un utilisateur B pourraient tous deux voir le résultat de la requête de A.

  • CVE-2021-25329

    Le correctif pour 2020-9484 était incomplet. Lors de l’utilisation d’Apache Tomcat, versions 8.5.0 à 8.5.61, avec un cas extrême de configuration hautement improbable, l’instance de Tomcat était encore vulnérable au CVE-2020-9494. Remarquez que les prérequis précédemment publiés pour CVE-2020-9484 et les mitigations précédemment publiées pour le CVE-2020-9484 s’appliquent à ce problème.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 8.5.54-0+deb9u6.

Nous vous recommandons de mettre à jour vos paquets tomcat8.

Pour disposer d'un état détaillé sur la sécurité de tomcat8, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/tomcat8.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.