LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2733-1 tomcat8

Bulletin d'alerte Debian

DLA-2733-1 tomcat8 -- Mise à jour de sécurité pour LTS

Date du rapport :

5 août 2021

Paquets concernés :

tomcat8

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 991046, Bogue 991046.
Dans le dictionnaire CVE du Mitre : CVE-2021-30640, CVE-2021-33037.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de Tomcat pour les servlets et JSP.

• CVE-2021-30640

  Une vulnérabilité dans le « JNDI Realm » de Apache Tomcat permet à un attaquant de s’authentifier en utilisant des différences dans un nom valable d’utilisateur ou de contourner quelques protections fournies par « LockOut Realm ».

• CVE-2021-33037

  Apache Tomcat n’analysait pas correctement l’en-tête de requête d’encodage de transfert HTTP dans certaines circonstances conduisant à la possibilité de dissimulation de requête lors de l’utilisation d’un mandataire inverse. Plus particulièrement : – Tomcat ignore l’en-tête d’encodage de transfert si le client avait déclaré accepter seulement une réponse HTTP/1.0 ; – Tomcat accepte l’encodage désigné ; — Tomcat n’assure pas que, s’il est présent, l’encodage de blocs soit l’encodage final.

Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans la version 8.5.54-0+deb9u7.

Nous vous recommandons de mettre à jour vos paquets tomcat8.

Pour disposer d'un état détaillé sur la sécurité de tomcat8, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/tomcat8.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.