Il a été découvert qu’il existait une exécution potentielle de code à distance à l’aide d’une désérialisation dans tomcat7, un serveur pour HTTP et les « servlets » Java.
Lors de l’utilisation d’Apache Tomcat, versions 10.0.0-M1 à 10.0.0-M4, 9.0.0.M1 à 9.0.34, 8.5.0 à 8.5.54 et 7.0.0 à 7.0.103, si : a) un attaquant était capable de contrôler le contenu et le nom d’un fichier sur le serveur, b) le serveur était configuré pour utiliser PersistenceManager avec un FileStore, c) le PersistenceManager était configuré avec sessionAttributeValueClassNameFilter="null" (la valeur par défaut à moins qu’un SecurityManager soit utilisé) ou qu’un filtre assez faible permettait la désérialisation de l’objet fourni par l’attaquant, d) l’attaquant connaissait le chemin relatif dans l'emplacement de stockage utilisé par FileStore du fichier dont il avait le contrôle, alors, en utilisant une requête spécialement contrefaite, l’attaquant était capable de déclencher une exécution de code à distance par la désérialisation d’un fichier sous son contrôle. Il est à remarquer que toutes les conditions (a à d) devaient être satisfaites pour la réussite de l’attaque.
Pour Debian 8 Jessie
, ces problèmes ont été corrigés dans
la version 7.0.56-3+really7.0.100-1+deb8u1.
Nous vous recommandons de mettre à jour vos paquets tomcat7.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.