Bulletin d'alerte Debian

DSA-3843-1 tomcat8 -- Mise à jour de sécurité

Date du rapport :
3 mai 2017
Paquets concernés :
tomcat8
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 860068, Bogue 860069.
Dans le dictionnaire CVE du Mitre : CVE-2017-5647, CVE-2017-5648.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans tomcat8, un moteur de servlets et JSP.

  • CVE-2017-5647

    Les requêtes acheminées étaient incorrectement traitées, ce qui pourrait résulter en quelques réponses apparaissant envoyées pour la mauvaise requête.

  • CVE-2017-5648

    Certains appels d'écouteurs (listeners) d'applications étaient émis pour les mauvais objets, permettant à des applications non fiables fonctionnant sous un SecurityManager de contourner ce mécanisme de protection et d'accéder ou de modifier des informations associées à d'autres applications web.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 8.0.14-1+deb8u9.

Pour la distribution stable à venir (Stretch) et unstable (Sid), ces problèmes ont été corrigés dans la version 8.5.11-2.

Nous vous recommandons de mettre à jour vos paquets tomcat8.