Рекомендация Debian по безопасности

DSA-3974-1 tomcat8 -- обновление безопасности

Дата сообщения:
15.09.2017
Затронутые пакеты:
tomcat8
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 802312.
В каталоге Mitre CVE: CVE-2017-7674, CVE-2017-7675.
Более подробная информация:

В Tomcat, движке сервлетов и JSP, были обнаружены две проблемы.

  • CVE-2017-7674

    Рик Ример обнаружил, что фильтр Cross-Origin Resource Sharing не добавляет заголовок Vary, отмечающий возможные различные ответы, что может приводить к отравлению кэша.

  • CVE-2017-7675 (stretch only)

    Маркус Дёршмидт обнаружил, что реализация HTTP/2 обходит некоторые проверки безопасности, позволяя злоумышленнику выполнять атаки по обходу каталога с помощью специально сформированных URL.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 8.0.14-1+deb8u11.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 8.5.14-1+deb9u2.

Рекомендуется обновить пакеты tomcat8.