Säkerhetsbulletin från Debian
DSA-3843-1 tomcat8 -- säkerhetsuppdatering
- Rapporterat den:
- 2017-05-03
- Berörda paket:
- tomcat8
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 860068, Fel 860069.
I Mitres CVE-förteckning: CVE-2017-5647, CVE-2017-5648. - Ytterligare information:
-
Två sårbarheter upptäcktes i tomcat8, en servlet och JSP-motor.
- CVE-2017-5647
Pipelinade förfrågningar behandlades felaktigt, vilket kunde resultera i att några svar såg ut att skickas för fel förfrågan.
- CVE-2017-5648
Några applikation-listener-anrop utställdes mot fel objekt, vilket tillåter opålitliga applikationer som kör under en SecurityManager att förbigå denna skyddsmekanism och få åtkomst till eller redigera information som associeras med andra webbapplikationer.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 8.0.14-1+deb8u9.
För den kommande stabila utgåvan (Stretch) och instabila distributionen (Sid), har dessa problem rättats i version 8.5.11-2.
Vi rekommenderar att ni uppgraderar era tomcat8-paket.
- CVE-2017-5647