Bulletin d'alerte Debian

DSA-3974-1 tomcat8 -- Mise à jour de sécurité

Date du rapport :
15 septembre 2017
Paquets concernés :
tomcat8
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 802312.
Dans le dictionnaire CVE du Mitre : CVE-2017-7674, CVE-2017-7675.
Plus de précisions :

Deux problèmes ont été découverts dans le servlet Tomcat et le moteur JSP.

  • CVE-2017-7674

    Rick Riemer a découvert que le filtre de partage de ressources d'origine croisée (CORS) n'ajoutait pas d'en-tête « Vary » indiquant de possibles réponses différentes, ce qui pourrait conduire à l'empoisonnement du cache.

  • CVE-2017-7675 (affecte seulement Stretch)

    Markus Dörschmidt a découvert que l'implémentation de HTTP/2 contournait certaines vérifications de sécurité, permettant ainsi à un attaquant de conduire des attaques de traversée de répertoires en utilisant des URL contrefaites pour l'occasion.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 8.0.14-1+deb8u11.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 8.5.14-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets tomcat8.