Рекомендация Debian по безопасности

DSA-3843-1 tomcat8 -- обновление безопасности

Дата сообщения:
03.05.2017
Затронутые пакеты:
tomcat8
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 860068, Ошибка 860069.
В каталоге Mitre CVE: CVE-2017-5647, CVE-2017-5648.
Более подробная информация:

В tomcat8, сервлете и движке JSP, были обнаружены две уязвимости.

  • CVE-2017-5647

    Конвейерно обрабатываемые запросы обрабатываются неправильно, что может приводить к тому, что некоторые ответы отмечаются для отправки в ответ на несоответствующие запросы.

  • CVE-2017-5648

    Некоторые вызовы приложений-приёмников выполняются для несоответствующих объектов, что позволяет недоверенным приложениям, запущенным под управлением SecurityManager, обходить механизм защиты и получать доступ или даже изменять информацию, связанную с другими веб-приложениями.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 8.0.14-1+deb8u9.

В готовящемся стабильном (stretch) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 8.5.11-2.

Рекомендуется обновить пакеты tomcat8.