S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 05 mars 2007
N° CERTA-2007-AVI-108
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Apache Tomcat

Gestion du document

Référence CERTA-2007-AVI-108
Titre Vulnérabilité dans Apache Tomcat
Date de la première version 05 mars 2007
Date de la dernière version 01 février 2008
Source(s) Liste des changements apportés à la version 1.2.21 d'Apache Tomcat Connector
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Tomcat 4.1.34 ;
  • Tomcat 5.5.20.
  • Tomcat JK Web Server Connector 1.2.19 ;
  • Tomcat JK Web Server Connector 1.2.20 ;

Résumé

Une vulnérabilité présente dans Tomcat JK Web Server Connector permettrait à un utilisateur distant de réaliser un déni de service ou d'exécuter du code arbitraire.

Description

Une mauvaise gestion des adresses réticulaires (URL) dans la bibliothèque mod_jk.so permettrait à un utilisateur distant malintentionné d'exécuter du code arbitraire ou de réaliser un déni de service par le biais d'une adresse réticulaire spécialement conçue.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 05 mars 2007
    version initiale.
    le 26 mars 2007
    ajout de la référence au bulletin de sécurité Gentoo.
    le 01 février 2008
    ajout de la référence au bulletin de sécurité Cisco.