Bulletin d'alerte Debian

DSA-4680-1 tomcat9 -- Mise à jour de sécurité

Date du rapport :
6 mai 2020
Paquets concernés :
tomcat9
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-10072, CVE-2019-12418, CVE-2019-17563, CVE-2019-17569, CVE-2020-1935, CVE-2020-1938.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la servlet Tomcat et le moteur JSP. Elles pourraient avoir pour conséquence une attaque par dissimulation de requête HTTP, l'exécution de code dans le connecteur AJP (désactivé par défaut dans Debian) ou une attaque de type « homme du milieu » à l'encontre de l'interface JMX.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 9.0.31-1~deb10u1. Le correctif pour CVE-2020-1938 peut nécessiter des changements de configuration quand Tomcat est utilisé avec le connecteur AJP, par exemple en combinaison avec libapache-mod-jk. Par exemple, l'attribut secretRequired est réglé à true par défaut désormais. Pour les configurations qui sont affectées, il est recommandé d'examiner https://tomcat.apache.org/tomcat-9.0-doc/config/ajp.html avant de déployer la mise à jour.

Nous vous recommandons de mettre à jour vos paquets tomcat9.

Pour disposer d'un état détaillé sur la sécurité de tomcat9, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/tomcat9.