Bulletin d'alerte Debian
DLA-2733-1 tomcat8 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 5 août 2021
- Paquets concernés :
- tomcat8
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 991046, Bogue 991046.
Dans le dictionnaire CVE du Mitre : CVE-2021-30640, CVE-2021-33037. - Plus de précisions :
-
Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de Tomcat pour les servlets et JSP.
- CVE-2021-30640
Une vulnérabilité dans le « JNDI Realm » de Apache Tomcat permet à un attaquant de s’authentifier en utilisant des différences dans un nom valable d’utilisateur ou de contourner quelques protections fournies par « LockOut Realm ».
- CVE-2021-33037
Apache Tomcat n’analysait pas correctement l’en-tête de requête d’encodage de transfert HTTP dans certaines circonstances conduisant à la possibilité de dissimulation de requête lors de l’utilisation d’un mandataire inverse. Plus particulièrement : – Tomcat ignore l’en-tête d’encodage de transfert si le client avait déclaré accepter seulement une réponse HTTP/1.0 ; – Tomcat accepte l’encodage désigné ; — Tomcat n’assure pas que, s’il est présent, l’encodage de blocs soit l’encodage final.
Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans la version 8.5.54-0+deb9u7.
Nous vous recommandons de mettre à jour vos paquets tomcat8.
Pour disposer d'un état détaillé sur la sécurité de tomcat8, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/tomcat8.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2021-30640