Risque
- Déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
- Versions antérieures à Apache Tomcat 7.0.30
- Versions antérieures à Apache Tomcat 6.0.36
- Versions antérieures à Apache Tomcat 5.5.36
Résumé
Deux vulnérabilités ont été corrigées dans Apache Tomcat. Elles permettent à un attaquant de contourner la politique de sécurité et de provoquer un déni de service à distance. La plus critique concerne un problème d'implémentation dans le composant d'authentification Digest. Elle permet dans certaines circonstances de mener une attaque par rejeu.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apache Tomcat version 7.0.30 du 06 septembre 2012
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.30
- Bulletin de sécurité Apache Tomcat version 6.0.36 du 19 octobre 2012
http://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.36
- Bulletin de sécurité Apache Tomcat 5.5.36 du 10 octobre 2012
http://tomcat.apache.org/security-5.html#Fixed_in_Apache_Tomcat_5.5.36
- Référence CVE CVE-2012-2733 :
https://www.cve.org/CVERecord?id=CVE-2012-2733
- Référence CVE CVE-2012-3439 :
https://www.cve.org/CVERecord?id=CVE-2012-3439