Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3892-1 tomcat7

Säkerhetsbulletin från Debian

DSA-3892-1 tomcat7 -- säkerhetsuppdatering

Rapporterat den:

2017-06-22

Berörda paket:

tomcat7

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 864447, Fel 802312.
I Mitres CVE-förteckning: CVE-2017-5664.

Ytterligare information:

Aniket Nandkishor Kulkarni upptäckte att i tomcat7, en servlet och JSP-motor, använder statiska felsidor den ursprungliga förfrågans HTTP-metod för att spara innehåll, istället för att systematiskt använda GET-metoden. Detta kunde resultera i oönskade resultat under vissa förutsättningar, inklusive ersättande eller botttagning av den anpassade felsidan.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 7.0.56-3+deb8u11.

För den stabila utgåvan (Stretch) har detta problem rättats i version 7.0.72-3.

För uttestningsutgåvan (Buster) har detta problem rättats i version 7.0.72-3.

För den instabila distributionen (Sid) har detta problem rättats i version 7.0.72-3.

Vi rekommenderar att ni uppgraderar era tomcat7-paket.