Информация по безопасности / 2017 / Информация о безопасности -- DSA-3892-1 tomcat7

Рекомендация Debian по безопасности

DSA-3892-1 tomcat7 -- обновление безопасности

Дата сообщения:

22.06.2017

Затронутые пакеты:

tomcat7

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 864447, Ошибка 802312.
В каталоге Mitre CVE: CVE-2017-5664.

Более подробная информация:

Аникет Нандкишор Кулкарни обнаружил, что в tomcat7, сервлете и движке JSP, статические страницы с сообщениями об ошибках для передачи содержимого используют HTTP-метод исходного запроса вместо систематического использования метода GET. При определённых условиях это может приводить к нежелательным результатам, включая замену или удаление собственных страниц сайта с сообщениями об ошибках.

В предыдущем стабильном выпуске (jessie) эта проблема была исправлена в версии 7.0.56-3+deb8u11.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 7.0.72-3.

В тестируемом выпуске (buster) эта проблема была исправлена в версии 7.0.72-3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 7.0.72-3.

Рекомендуется обновить пакеты tomcat7.