Bulletin d'alerte Debian
DSA-3843-1 tomcat8 -- Mise à jour de sécurité
- Date du rapport :
- 3 mai 2017
- Paquets concernés :
- tomcat8
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 860068, Bogue 860069.
Dans le dictionnaire CVE du Mitre : CVE-2017-5647, CVE-2017-5648. - Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans tomcat8, un moteur de servlets et JSP.
- CVE-2017-5647
Les requêtes acheminées étaient incorrectement traitées, ce qui pourrait résulter en quelques réponses apparaissant envoyées pour la mauvaise requête.
- CVE-2017-5648
Certains appels d'écouteurs (
listeners
) d'applications étaient émis pour les mauvais objets, permettant à des applications non fiables fonctionnant sous un SecurityManager de contourner ce mécanisme de protection et d'accéder ou de modifier des informations associées à d'autres applications web.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 8.0.14-1+deb8u9.
Pour la distribution stable à venir (Stretch) et unstable (Sid), ces problèmes ont été corrigés dans la version 8.5.11-2.
Nous vous recommandons de mettre à jour vos paquets tomcat8.
- CVE-2017-5647