Sikkerhedsoplysninger / 2020 / Sikkerhedsoplysninger -- DSA-4680-1 tomcat9

Debians sikkerhedsbulletin

DSA-4680-1 tomcat9 -- sikkerhedsopdatering

Rapporteret den:

6. maj 2020

Berørte pakker:

tomcat9

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2019-10072, CVE-2019-12418, CVE-2019-17563, CVE-2019-17569, CVE-2020-1935, CVE-2020-1938.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Tomcats servlet og JSP-motor, hvilke kunne medføre smugling af HTTP-forespørgsler, udførelse af kode i AJP-connector'en (som standard deaktiveret i Debian) eller manden i midten-angreb mod JMX-grænsefladen.

I den stabile distribution (buster), er disse problemer rettet i version 9.0.31-1~deb10u1. Rettelsen af CVE-2020-1938 kan kræve opsætningsændringer, når Tomcat anvendes med AJP-connector'en, fx i kombination med libapache-mod-jk. For eksempel er attributten secretRequired nu som standard opsat til true. I påvirkede opsætninger, anbefales man at gennemgå https://tomcat.apache.org/tomcat-9.0-doc/config/ajp.html, før opdateringen bliver udrullet.

Vi anbefaler at du opgraderer dine tomcat9-pakker.

For detaljeret sikkerhedsstatus vedrørende tomcat9, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/tomcat9