Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4357-1 libapache-mod-jk

Bulletin d'alerte Debian

DSA-4357-1 libapache-mod-jk -- Mise à jour de sécurité

Date du rapport :

20 décembre 2018

Paquets concernés :

libapache-mod-jk

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-11759.

Plus de précisions :

Raphaël Arrouas et Jean Lejeune ont découvert une vulnérabilité de contournement de contrôle d'accès dans mod_jk, le connecteur d'Apache pour le moteur de servlet Java Tomcat. La vulnérabilité est traitée en mettant à niveau mod_jk vers la version amont 1.2.46 qui comprend des modifications supplémentaires.

• https://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html#Changes_between_1.2.42_and_1.2.43
• https://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html#Changes_between_1.2.43_and_1.2.44
• https://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html#Changes_between_1.2.44_and_1.2.45
• https://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html#Changes_between_1.2.45_and_1.2.46

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1:1.2.46-0+deb9u1.

Nous vous recommandons de mettre à jour vos paquets libapache-mod-jk.

Pour disposer d'un état détaillé sur la sécurité de libapache-mod-jk, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libapache-mod-jk.