Aviso de seguridad de Debian

DSA-4680-1 tomcat9 -- actualización de seguridad

Fecha del informe:
6 de may de 2020
Paquetes afectados:
tomcat9
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2019-10072, CVE-2019-12418, CVE-2019-17563, CVE-2019-17569, CVE-2020-1935, CVE-2020-1938.
Información adicional:

Se descubrieron varias vulnerabilidades en el motor de JSP y servlets Tomcat que podrían dar lugar a «contrabando» de peticiones HTTP («HTTP request smuggling»), a ejecución de código en el contector AJP (inhabilitado por omisión en Debian) o a ataques por intermediario («man-in-the-middle») contra la interfaz JMX.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 9.0.31-1~deb10u1. La corrección para CVE-2020-1938 puede hacer necesarios cambios de configuración cuando se utiliza Tomcat con el conector AJP, como puede ser en combinación con libapache-mod-jk. A modo de ejemplo, la propiedad secretRequired ahora toma el valor true por omisión. Para información sobre configuraciones afectadas, se recomienda revisar https://tomcat.apache.org/tomcat-9.0-doc/config/ajp.html antes de desplegar la actualización.

Le recomendamos que actualice los paquetes de tomcat9.

Para información detallada sobre el estado de seguridad de tomcat9, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/tomcat9