Рекомендация Debian по безопасности
DSA-3428-1 tomcat8 -- обновление безопасности
- Дата сообщения:
- 18.12.2015
- Затронутые пакеты:
- tomcat8
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-7810.
- Более подробная информация:
-
Было обнаружено, что злоумышленники могут использовать Expression Language через веб-приложения для обхода защиты Security Manager, поскольку выражения вычисляются в фрагменте привилегированного кода.
В стабильном выпуске (jessie) эта проблема была исправлена в версии 8.0.14-1+deb8u1.
В тестируемом выпуске (stretch) эта проблема была исправлена в версии 8.0.21-2.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 8.0.21-2.
Рекомендуется обновить пакеты tomcat8.