В Tomcat, движке сервлетов и JSP, было обнаружено несколько уязвимостей, которые могут приводить к подделке HTTP-запросов, выполнению кода в AJP-коннекторе (по умолчанию отключён в Debian) или атакам по принципу человек-в-середине на JMX-интерфейс.
В стабильном выпуске (buster), эти проблемы были исправлены в
версии 9.0.31-1~deb10u1. Исправление для \
CVE-2020-1938 может потребовать изменения настроек,
если Tomcat используется с AJP-коннектором, например,
вместе с libapache-mod-jk. Например, атрибут
secretRequired
теперь по умолчанию имеет значение true. Рекомендуется
ознакомиться с \
https://tomcat.apache.org/tomcat-9.0-doc/config/ajp.html
до выполнения развёртывания обновления.
Рекомендуется обновить пакеты tomcat9.
С подробным статусом поддержки безопасности tomcat9 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу \ https://security-tracker.debian.org/tracker/tomcat9