Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Tomcat 4.1.34 ;
- Tomcat 5.5.20.
- Tomcat JK Web Server Connector 1.2.19 ;
- Tomcat JK Web Server Connector 1.2.20 ;
Résumé
Une vulnérabilité présente dans Tomcat JK Web Server Connector permettrait à un utilisateur distant de réaliser un déni de service ou d'exécuter du code arbitraire.
Description
Une mauvaise gestion des adresses réticulaires (URL) dans la bibliothèque mod_jk.so permettrait à un utilisateur distant malintentionné d'exécuter du code arbitraire ou de réaliser un déni de service par le biais d'une adresse réticulaire spécialement conçue.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco 20080130 du 30 janvier 2008 : http://www.cisco.com/en/US/products/products_security_advisory09186a0080093f040.shtml#@
- Bulletin de sécurité Gentoo GLSA-200703-16 du 16 mars 2007 : http://www.gentoo.org/security/en/glsa/glsa-200703-16.xml
- Liste des changements apportés à la version 1.2.21 d'Apache Tomcat Connector : http://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html
- Référence CVE CVE-2007-0774 https://www.cve.org/CVERecord?id=CVE-2007-0774