Debians sikkerhedsbulletin
DSA-3843-1 tomcat8 -- sikkerhedsopdatering
- Rapporteret den:
- 3. maj 2017
- Berørte pakker:
- tomcat8
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 860068, Fejl 860069.
I Mitres CVE-ordbog: CVE-2017-5647, CVE-2017-5648. - Yderligere oplysninger:
-
To sårbarheder blev opdaget i tomcat8, en servlet- og JSP-motor.
- CVE-2017-5647
Pipelinede forespørgsler blev behandlet på forkert vis, hvilket kunne medføre, at nogle svar lod til at blive sendt til den forkerte forespørgsel.
- CVE-2017-5648
Nogle applikations-listeners-kald blev udstedt mod de forkerte objekter, hvilket gjorde det muligt for applikationer, der ikke er tillid til, at køre under en SecurityManager for at omgå den beskyttelsesmekanisme og tilgå eller ændre oplysninger knyttet til andre webapplikationer.
I den stabile distribution (jessie), er disse problemer rettet i version 8.0.14-1+deb8u9.
I den kommende stabile distribution (stretch) og i den ustabile distribution (sid), er disse problemer rettet i version 8.5.11-2.
Vi anbefaler at du opgraderer dine tomcat8-pakker.
- CVE-2017-5647