Bonjour, le mardi 10 mars 22:27, Grégoire Scano a écrit :
>une suggestion Merci, intégrée. Autre chance de commentaire. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="5cce6e19042ece6cac569ce8e96257a21f73442b" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet Tomcat et le moteur JSP.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-17569";>CVE-2019-17569</a> <p>La réécriture dans 7.0.98 introduisait une régression. Le résultat de la régression faisait que les en-têtes Transfer-Encoding non valables étaient traités incorrectement conduisant à une possibilité de dissimulation de requête HTTP si Tomcat résidait derrière un mandataire inverse qui gérait incorrectement lâen-tête Transfer-Encoding non valable dâune certaine manière. Un tel mandataire inverse est considéré comme peu probable.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1935";>CVE-2020-1935</a> <p>Le code dâanalyse dâen-têtes HTTP utilisait une manière dâanalyse de fin de ligne (EOL) qui permettait à quelques en-têtes HTTP non valables dâêtre analysés comme valables. Cela conduisait à une possibilité de dissimulation de requête HTTP si Tomcat résidait derrière un mandataire inverse qui gérait incorrectement lâen-tête Transfer-Encoding non valable dâune certaine manière. Un tel mandataire inverse est considéré comme peu probable.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1938";>CVE-2020-1938</a> <p>Lors de lâutilisation du protocole Apache JServ (AJP), une attention doit être portée lors de la confiance dans les connexions entrantes vers Apache Tomcat. Tomcat traite les connexions AJP comme de plus haute confiance que, par exemple, une connexion HTTP similaire. Si de telles connexions sont disponibles à un attaquant, elles peuvent être exploitées de manières surprenantes. Avant sa version 7.0.100, Tomcat était fourni avec un connecteur AJP activé par défaut qui écoutait toutes les adresses IP configurées. Il était prévu (et recommandé dans le guide de sécurité) que ce connecteur soit désactivé sâil nâétait pas requis.</p> <p>Il est à remarquer que Debian désactive le connecteur AJP par défaut. La mitigation est seulement nécessaire si le port AJP était accessible aux utilisateurs non fiables.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 7.0.56-3+really7.0.100-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2133.data" # $Id: $
