Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3447-1 tomcat7

Debians sikkerhedsbulletin

DSA-3447-1 tomcat7 -- sikkerhedsopdatering

Rapporteret den:

17. jan 2016

Berørte pakker:

tomcat7

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-7810.

Yderligere oplysninger:

Man opdagede at ondsindede webapplikationer kunne udnytte Expression Language til at omgå en Security Managers beskyttelser, da udtryk blev evalueret inden for et afsnit med priviligeret kode.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 7.0.28-4+deb7u3. Med denne opdatering følger også rettelser af CVE-2013-4444, CVE-2014-0075, CVE-2014-0099, CVE-2014-0227 og CVE-2014-0230, som allerede er rettet i den stabile distribution (jessie).

I den stabile distribution (jessie), er dette problem rettet i version 7.0.56-3+deb8u1.

I distributionen testing (stretch), er dette problem rettet i version 7.0.61-1.

I den ustabile distribution (sid), er dette problem rettet i version 7.0.61-1.

Vi anbefaler at du opgraderer dine tomcat7-pakker.