Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3891-1 tomcat8

Säkerhetsbulletin från Debian

DSA-3891-1 tomcat8 -- säkerhetsuppdatering

Rapporterat den:

2017-06-22

Berörda paket:

tomcat8

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 864447, Fel 802312.
I Mitres CVE-förteckning: CVE-2017-5664.

Ytterligare information:

Aniket Nandkishor Kulkarni upptäckte att i tomcat8, en servlet och JSP-motor, använder statiska felsidor den ursprungliga förfrågans HTTP-metod för att spara innehåll, istället för att systematiskt använda GET-metoden. Detta kunde resultera i oönskade resultat under vissa förutsättningar, inklusive ersättande eller botttagning av den anpassade felsidan.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 8.0.14-1+deb8u10.

För den stabila utgåvan (Stretch) har detta problem rättats i version 8.5.14-1+deb9u1.

För uttestningsutgåvan (Buster) har detta problem rättats i version 8.5.14-2.

För den instabila distributionen (Sid) har detta problem rättats i version 8.5.14-2.

Vi rekommenderar att ni uppgraderar era tomcat8-paket.