Risque
- Contournement de la politique de sécurité
Systèmes affectés
- Apache Tomcat versions antérieures à 5.5.22 ;
- Apache Tomcat versions antérieures à 6.0.10.
Résumé
Une vulnérabilité présente dans Apache Tomcat permet de contourner la politique de sécurité.
Description
Sous certaines conditions, comme l'utilisation d'un mode mandataire (proxy) tel que : mod_proxy, mod_rewrite ou mod_jk, un manque de contôle de l'adresse réticulaire (URL) permet à un utilisateur malveillant d'accèder à des informations présentes sur le serveur par le biais d'une requête spécialement conçue.
Solution
Les versions 5.5.22 et 6.0.10 d'Apache Tomcat corrigent le problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apache Tomcat 5.x : http://tomcat.apache.org/security-5.html
- Bulletin de sécurité Apache Tomcat 6.x : http://tomcat.apache.org/security-6.html
- Référence CVE CVE-2007-0450 https://www.cve.org/CVERecord?id=CVE-2007-0450