Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3843-1 tomcat8

Säkerhetsbulletin från Debian

DSA-3843-1 tomcat8 -- säkerhetsuppdatering

Rapporterat den:

2017-05-03

Berörda paket:

tomcat8

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 860068, Fel 860069.
I Mitres CVE-förteckning: CVE-2017-5647, CVE-2017-5648.

Ytterligare information:

Två sårbarheter upptäcktes i tomcat8, en servlet och JSP-motor.

• CVE-2017-5647

  Pipelinade förfrågningar behandlades felaktigt, vilket kunde resultera i att några svar såg ut att skickas för fel förfrågan.

• CVE-2017-5648

  Några applikation-listener-anrop utställdes mot fel objekt, vilket tillåter opålitliga applikationer som kör under en SecurityManager att förbigå denna skyddsmekanism och få åtkomst till eller redigera information som associeras med andra webbapplikationer.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 8.0.14-1+deb8u9.

För den kommande stabila utgåvan (Stretch) och instabila distributionen (Sid), har dessa problem rättats i version 8.5.11-2.

Vi rekommenderar att ni uppgraderar era tomcat8-paket.