Bulletin d'alerte Debian
DSA-4357-1 libapache-mod-jk -- Mise à jour de sécurité
- Date du rapport :
- 20 décembre 2018
- Paquets concernés :
- libapache-mod-jk
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2018-11759.
- Plus de précisions :
-
Raphaël Arrouas et Jean Lejeune ont découvert une vulnérabilité de contournement de contrôle d'accès dans mod_jk, le connecteur d'Apache pour le moteur de servlet Java Tomcat. La vulnérabilité est traitée en mettant à niveau mod_jk vers la version amont 1.2.46 qui comprend des modifications supplémentaires.
- https://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html#Changes_between_1.2.42_and_1.2.43
- https://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html#Changes_between_1.2.43_and_1.2.44
- https://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html#Changes_between_1.2.44_and_1.2.45
- https://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html#Changes_between_1.2.45_and_1.2.46
Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1:1.2.46-0+deb9u1.
Nous vous recommandons de mettre à jour vos paquets libapache-mod-jk.
Pour disposer d'un état détaillé sur la sécurité de libapache-mod-jk, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libapache-mod-jk.