Рекомендация Debian по безопасности
DSA-3843-1 tomcat8 -- обновление безопасности
- Дата сообщения:
- 03.05.2017
- Затронутые пакеты:
- tomcat8
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 860068, Ошибка 860069.
В каталоге Mitre CVE: CVE-2017-5647, CVE-2017-5648. - Более подробная информация:
-
В tomcat8, сервлете и движке JSP, были обнаружены две уязвимости.
- CVE-2017-5647
Конвейерно обрабатываемые запросы обрабатываются неправильно, что может приводить к тому, что некоторые ответы отмечаются для отправки в ответ на несоответствующие запросы.
- CVE-2017-5648
Некоторые вызовы приложений-приёмников выполняются для несоответствующих объектов, что позволяет недоверенным приложениям, запущенным под управлением SecurityManager, обходить механизм защиты и получать доступ или даже изменять информацию, связанную с другими веб-приложениями.
В стабильном выпуске (jessie) эти проблемы были исправлены в версии 8.0.14-1+deb8u9.
В готовящемся стабильном (stretch) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 8.5.11-2.
Рекомендуется обновить пакеты tomcat8.
- CVE-2017-5647