Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3843-1 tomcat8

Bulletin d'alerte Debian

DSA-3843-1 tomcat8 -- Mise à jour de sécurité

Date du rapport :

3 mai 2017

Paquets concernés :

tomcat8

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 860068, Bogue 860069.
Dans le dictionnaire CVE du Mitre : CVE-2017-5647, CVE-2017-5648.

Plus de précisions :

Deux vulnérabilités ont été découvertes dans tomcat8, un moteur de servlets et JSP.

• CVE-2017-5647

  Les requêtes acheminées étaient incorrectement traitées, ce qui pourrait résulter en quelques réponses apparaissant envoyées pour la mauvaise requête.

• CVE-2017-5648

  Certains appels d'écouteurs (listeners) d'applications étaient émis pour les mauvais objets, permettant à des applications non fiables fonctionnant sous un SecurityManager de contourner ce mécanisme de protection et d'accéder ou de modifier des informations associées à d'autres applications web.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 8.0.14-1+deb8u9.

Pour la distribution stable à venir (Stretch) et unstable (Sid), ces problèmes ont été corrigés dans la version 8.5.11-2.

Nous vous recommandons de mettre à jour vos paquets tomcat8.