Se descubrieron varias vulnerabilidades en el motor de JSP y servlets Tomcat que podrían dar lugar a «contrabando» de peticiones HTTP («HTTP request smuggling»), a ejecución de código en el contector AJP (inhabilitado por omisión en Debian) o a ataques por intermediario («man-in-the-middle») contra la interfaz JMX.
Para la distribución «estable» (buster), estos problemas se han corregido en
la versión 9.0.31-1~deb10u1. La corrección para \
CVE-2020-1938 puede hacer necesarios
cambios de configuración cuando se utiliza Tomcat con el conector AJP, como puede ser
en combinación con libapache-mod-jk. A modo de ejemplo, la propiedad
secretRequired
ahora toma el valor true por omisión. Para información sobre configuraciones afectadas, se
recomienda revisar \
https://tomcat.apache.org/tomcat-9.0-doc/config/ajp.html
antes de desplegar la actualización.
Le recomendamos que actualice los paquetes de tomcat9.
Para información detallada sobre el estado de seguridad de tomcat9, consulte su página en el sistema de seguimiento de problemas de seguridad: \ https://security-tracker.debian.org/tracker/tomcat9