Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3679-1 jackrabbit

Bulletin d'alerte Debian

DSA-3679-1 jackrabbit -- Mise à jour de sécurité

Date du rapport :

27 septembre 2016

Paquets concernés :

jackrabbit

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 838204.
Dans le dictionnaire CVE du Mitre : CVE-2016-6801.

Plus de précisions :

Lukas Reschke a découvert que Jackrabbit d'Apache, une implémentation de dépôt de contenu (Content Repository) pour l'API Java Technology, ne vérifiait pas correctement l'en-tête Content-Type des requêtes HTTP POST, permettant ainsi des attaques par contrefaçon de requête intersite (CSRF) par des sites web malveillants.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2.3.6-1+deb8u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.12.4-1.

Nous vous recommandons de mettre à jour vos paquets jackrabbit.