Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3278-1 libapache-mod-jk

Säkerhetsbulletin från Debian

DSA-3278-1 libapache-mod-jk -- säkerhetsuppdatering

Rapporterat den:

2015-06-03

Berörda paket:

libapache-mod-jk

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 783233.
I Mitres CVE-förteckning: CVE-2014-8111.

Ytterligare information:

En brist rörande utlämnande av information på grund av felaktig JkMount/JkUnmount-direktivbehandling har upptäckts i Apache 2-modulen mod_jk som vidarebefordrar förfrågningar från webbservern Apache till Tomcat. En JkUnmount-regel för ett underträd av en tidigare JkMount-regel kunde ignoreras. Detta kunde tillåta en fjärrangripare att potentiellt få åtkomst till privata artifakter i ett träd som annars inte skulle vara åtkomligt för dem.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1:1.2.37-1+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1:1.2.37-4+deb8u1.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 1:1.2.40+svn150520-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1:1.2.40+svn150520-1.

Vi rekommenderar att ni uppgraderar era libapache-mod-jk-paket.