Рекомендация Debian по безопасности

DSA-4680-1 tomcat9 -- обновление безопасности

Дата сообщения:
06.05.2020
Затронутые пакеты:
tomcat9
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2019-10072, CVE-2019-12418, CVE-2019-17563, CVE-2019-17569, CVE-2020-1935, CVE-2020-1938.
Более подробная информация:

В Tomcat, движке сервлетов и JSP, было обнаружено несколько уязвимостей, которые могут приводить к подделке HTTP-запросов, выполнению кода в AJP-коннекторе (по умолчанию отключён в Debian) или атакам по принципу человек-в-середине на JMX-интерфейс.

В стабильном выпуске (buster), эти проблемы были исправлены в версии 9.0.31-1~deb10u1. Исправление для CVE-2020-1938 может потребовать изменения настроек, если Tomcat используется с AJP-коннектором, например, вместе с libapache-mod-jk. Например, атрибут secretRequired теперь по умолчанию имеет значение true. Рекомендуется ознакомиться с https://tomcat.apache.org/tomcat-9.0-doc/config/ajp.html до выполнения развёртывания обновления.

Рекомендуется обновить пакеты tomcat9.

С подробным статусом поддержки безопасности tomcat9 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/tomcat9