Debians sikkerhedsbulletin

DSA-3974-1 tomcat8 -- sikkerhedsopdatering

Rapporteret den:
15. sep 2017
Berørte pakker:
tomcat8
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 802312.
I Mitres CVE-ordbog: CVE-2017-7674, CVE-2017-7675.
Yderligere oplysninger:

To problemer blev opdaget i Tomcats servlet og JSP-motor.

  • CVE-2017-7674

    Rick Riemer opdagede at Cross-Origin Resource Sharing-filteret ikke tilføjede en Vary-header, som indikerer mulige forskellige svar, hvilket kunne føre til cacheforgiftning.

  • CVE-2017-7675 (stretch only)

    Markus Dörschmidt opdagede at HTTP/2-implementering omgik nogle sikkerhedskontroller, dermed gørende det muligt for en angriber at iværksætte mappegennemløbsangreb ved at anvende særligt fremstillede URL'er.

I den gamle stabile distribution (jessie), er disse problemer rettet i version 8.0.14-1+deb8u11.

I den stabile distribution (stretch), er disse problemer rettet i version 8.5.14-1+deb9u2.

Vi anbefaler at du opgraderer dine tomcat8-pakker.