Bulletin d'alerte Debian

DLA-2733-1 tomcat8 -- Mise à jour de sécurité pour LTS

Date du rapport :
5 août 2021
Paquets concernés :
tomcat8
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 991046, Bogue 991046.
Dans le dictionnaire CVE du Mitre : CVE-2021-30640, CVE-2021-33037.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de Tomcat pour les servlets et JSP.

  • CVE-2021-30640

    Une vulnérabilité dans le « JNDI Realm » de Apache Tomcat permet à un attaquant de s’authentifier en utilisant des différences dans un nom valable d’utilisateur ou de contourner quelques protections fournies par « LockOut Realm ».

  • CVE-2021-33037

    Apache Tomcat n’analysait pas correctement l’en-tête de requête d’encodage de transfert HTTP dans certaines circonstances conduisant à la possibilité de dissimulation de requête lors de l’utilisation d’un mandataire inverse. Plus particulièrement : – Tomcat ignore l’en-tête d’encodage de transfert si le client avait déclaré accepter seulement une réponse HTTP/1.0 ; – Tomcat accepte l’encodage désigné ; — Tomcat n’assure pas que, s’il est présent, l’encodage de blocs soit l’encodage final.

Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans la version 8.5.54-0+deb9u7.

Nous vous recommandons de mettre à jour vos paquets tomcat8.

Pour disposer d'un état détaillé sur la sécurité de tomcat8, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/tomcat8.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.