Säkerhetsbulletin från Debian

DSA-3974-1 tomcat8 -- säkerhetsuppdatering

Rapporterat den:
2017-09-15
Berörda paket:
tomcat8
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 802312.
I Mitres CVE-förteckning: CVE-2017-7674, CVE-2017-7675.
Ytterligare information:

Två problem har upptäckts i Tomcat servlet och JSP-motor.

  • CVE-2017-7674

    Rick Riemer upptäckte att Cross-Origin Resource Sharing filtret inte lägger till en Vary-rubrik som indikerar möjliga olika svar, vilket kunde leda till cache-förgiftning.

  • CVE-2017-7675 (endast Stretch)

    Markus Dörschmidt upptäckte att HTTP/2-implementationen hoppade över några säkerhetskontroller, och därmed tillät en angripare att utföra katalogtraverseringsangrepp genom att använda speciellt skapade URLer.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 8.0.14-1+deb8u11.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 8.5.14-1+deb9u2.

Vi rekommenderar att ni uppgraderar era tomcat8-paket.