Информация по безопасности / 2017 / Информация о безопасности -- DSA-3891-1 tomcat8

Рекомендация Debian по безопасности

DSA-3891-1 tomcat8 -- обновление безопасности

Дата сообщения:

22.06.2017

Затронутые пакеты:

tomcat8

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 864447, Ошибка 802312.
В каталоге Mitre CVE: CVE-2017-5664.

Более подробная информация:

Аникет Нандкишор Кулкарни обнаружил, что в tomcat8, сервлете и движке JSP, статические страницы с сообщениями об ошибках для передачи содержимого используют HTTP-метод исходного запроса вместо систематического использования метода GET. При определённых условиях это может приводить к нежелательным результатам, включая замену или удаление собственных страниц сайта с сообщениями об ошибках.

В предыдущем стабильном выпуске (jessie) эта проблема была исправлена в версии 8.0.14-1+deb8u10.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 8.5.14-1+deb9u1.

В тестируемом выпуске (buster) эта проблема была исправлена в версии 8.5.14-2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 8.5.14-2.

Рекомендуется обновить пакеты tomcat8.