8.5.0から8.5.59のApache Tomcatが、後続のストリームに関連するリクエストに対するHTTP/2接続で受信した以前のストリームのHTTPリクエストヘッダー値を再利用する可能性があることが判明しました。これにより、エラーおよびHTTP/2接続の切断が発生する可能性が高いですが、リクエスト間で情報が漏洩する可能性があります。

Debian 9 'Stretch'では、この問題はバージョン8.5.54-0+deb9u5で修正されています。

お使いのtomcat8のパッケージをアップグレードすることを推奨します。

tomcat8の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/tomcat8

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

DebianDLA-2495-1：tomcat8のセキュリティ更新

high Nessus プラグイン ID 144343

バージョン 1.7

バージョン 1.5

バージョン 1.7 Feb 1, 2024, 4:21 PM CVSSv2 score source (set to "CVE-2020-17527") Exploit attributes ("Exploit available" set to "False") Plugin Feed: 202402011621
バージョン 1.5 Dec 6, 2022, 1:01 AM Reference Plugin Feed: 202212060101