8.5.0から8.5.59のApache Tomcatが、後続のストリームに関連するリクエストに対するHTTP/2接続で受信した以前のストリームのHTTPリクエストヘッダー値を再利用する可能性があることが判明しました。これにより、エラーおよびHTTP/2接続の切断が発生する可能性が高いですが、リクエスト間で情報が漏洩する可能性があります。

Debian 9 'Stretch'では、この問題はバージョン8.5.54-0+deb9u5で修正されています。

お使いのtomcat8のパッケージをアップグレードすることを推奨します。

tomcat8の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/tomcat8

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

DebianDLA-2495-1：tomcat8のセキュリティ更新

high Nessus プラグイン ID 144343

バージョン 1.7