Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3447-1 tomcat7

Säkerhetsbulletin från Debian

DSA-3447-1 tomcat7 -- säkerhetsuppdatering

Rapporterat den:

2016-01-17

Berörda paket:

tomcat7

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-7810.

Ytterligare information:

Man har upptäckt att illasinnade webbapplikationer kunde använda Expression Language för att förbigå skydd i en säkerhetshanterare eftersom uttryck evaluerades i en priviligierad kodsektion.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 7.0.28-4+deb7u3. Denna uppdatering innehåller även rättningar för CVE-2013-4444, CVE-2014-0075, CVE-2014-0099, CVE-2014-0227 och CVE-2014-0230, som allihop redan har rättats i den stabila utgåvan (Jessie).

För den stabila utgåvan (Jessie) har detta problem rättats i version 7.0.56-3+deb8u1.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 7.0.61-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 7.0.61-1.

Vi rekommenderar att ni uppgraderar era tomcat7-paket.