Risque
- Injection de code indirecte ;
- déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
- Apache Tomcat 5 versions antérieures à 5.5.32 ;
- Apache Tomcat 6 versions antérieures à 6.0.32 ;
- Apache Tomcat 7 versions antérieures à 7.0.8.
Résumé
Plusieurs vulnérabilités ont été corrigées sur les serveurs Apache Tomcat versions 5, 6 et 7.
Description
Plusieurs vulnérabilités ont été corrigées sur les serveurs Apache Tomcat. Elles peuvent notament être exploitées par des utilisateurs locaux pour contourner la politique de sécurité, et par des attaquants distants pour réaliser un déni de service ou une injection de code indirecte.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Liste des vulnérabilités affectant Apache Tomcat 7 :
http://tomcat.apache.org/security-7.html
- Liste des vulnérabilités affectant Apache Tomcat 6 :
http://tomcat.apache.org/security-6.html
- Liste des vulnérabilités affectant Apache Tomcat 5 :
http://tomcat.apache.org/security-5.html
- Bulletin de sécurité IBM swg21507512 du 29 juillet 2011 :
http://www-01.ibm.com/support/docview.wws?uid=swg21507512
- Référence CVE CVE-2010-3718 :
https://www.cve.org/CVERecord?id=CVE-2010-3718
- Référence CVE CVE-2010-4476 :
https://www.cve.org/CVERecord?id=CVE-2010-4476
- Référence CVE CVE-2011-0013 :
https://www.cve.org/CVERecord?id=CVE-2011-0013
- Référence CVE CVE-2011-0534 :
https://www.cve.org/CVERecord?id=CVE-2011-0534