Информация по безопасности / 2017 / Информация о безопасности -- DSA-3843-1 tomcat8

Рекомендация Debian по безопасности

DSA-3843-1 tomcat8 -- обновление безопасности

Дата сообщения:

03.05.2017

Затронутые пакеты:

tomcat8

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 860068, Ошибка 860069.
В каталоге Mitre CVE: CVE-2017-5647, CVE-2017-5648.

Более подробная информация:

В tomcat8, сервлете и движке JSP, были обнаружены две уязвимости.

• CVE-2017-5647

  Конвейерно обрабатываемые запросы обрабатываются неправильно, что может приводить к тому, что некоторые ответы отмечаются для отправки в ответ на несоответствующие запросы.

• CVE-2017-5648

  Некоторые вызовы приложений-приёмников выполняются для несоответствующих объектов, что позволяет недоверенным приложениям, запущенным под управлением SecurityManager, обходить механизм защиты и получать доступ или даже изменять информацию, связанную с другими веб-приложениями.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 8.0.14-1+deb8u9.

В готовящемся стабильном (stretch) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 8.5.11-2.

Рекомендуется обновить пакеты tomcat8.