Bulletin d'alerte Debian

DSA-5265-1 tomcat9 -- Mise à jour de sécurité

Date du rapport :

29 octobre 2022

Paquets concernés :

tomcat9

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-43980, CVE-2022-23181, CVE-2022-29885.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet Tomcat et le moteur JSP.

CVE-2021-43980
L'implémentation simplifiée de blocage de lectures et d'écritures introduite dans Tomcat 10 et rétroportée sur les versions 9.0.47 et suivantes de Tomcat exposait à un vieux bogue de concurrence (mais extrêmement difficile à déclencher) qui pouvait faire que les connexions d'un client partagent une instance de Http11Processor avec pour conséquence la réception de réponses ou de fragments de réponses par le mauvais client.
CVE-2022-23181
Le correctif pour le bogue CVE-2020-9484 introduisait une vulnérabilité de compétition entre la vérification et l'utilisation dans Apache Tomcat qui permettait à un attaquant local de réaliser des actions avec les privilèges de l'utilisateur que le processus de Tomcat utilise. Ce problème est seulement exploitable quand Tomcat est configuré pour des sessions persistantes utilisant le FileStore.
CVE-2022-29885
La documentation d'Apache Tomcat pour l'EncryptInterceptor déclarait à tort qu'il permettait aux grappes de Tomcat de fonctionner sur un réseau non sûr. Ce n'était pas exact. Même si l'EncryptInterceptor fournit bien une protection de confidentialité et d'intégrité, il ne protège pas contre tous les risques associés à une exécution sur un réseau non sûr, en particulier contre les risques de déni de service.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 9.0.43-2~deb11u4.

Nous vous recommandons de mettre à jour vos paquets tomcat9.

Pour disposer d'un état détaillé sur la sécurité de tomcat9, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/tomcat9.