Debians sikkerhedsbulletin

DSA-4680-1 tomcat9 -- sikkerhedsopdatering

Rapporteret den:
6. maj 2020
Berørte pakker:
tomcat9
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2019-10072, CVE-2019-12418, CVE-2019-17563, CVE-2019-17569, CVE-2020-1935, CVE-2020-1938.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Tomcats servlet og JSP-motor, hvilke kunne medføre smugling af HTTP-forespørgsler, udførelse af kode i AJP-connector'en (som standard deaktiveret i Debian) eller manden i midten-angreb mod JMX-grænsefladen.

I den stabile distribution (buster), er disse problemer rettet i version 9.0.31-1~deb10u1. Rettelsen af CVE-2020-1938 kan kræve opsætningsændringer, når Tomcat anvendes med AJP-connector'en, fx i kombination med libapache-mod-jk. For eksempel er attributten secretRequired nu som standard opsat til true. I påvirkede opsætninger, anbefales man at gennemgå https://tomcat.apache.org/tomcat-9.0-doc/config/ajp.html, før opdateringen bliver udrullet.

Vi anbefaler at du opgraderer dine tomcat9-pakker.

For detaljeret sikkerhedsstatus vedrørende tomcat9, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/tomcat9