S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 février 2008
N° CERTA-2008-AVI-066
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Apache Tomcat

Gestion du document

Référence CERTA-2008-AVI-066
Titre Multiples vulnérabilités dans Apache Tomcat
Date de la première version11 février 2008
Date de la dernière version11 février 2008
Source(s) Bulletins de sécurité pour Apache Tomcat 4.x, 5.x et 6.x
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

Les différentes vulnérabilités affectent les versions suivantes :

  • 4.1.0 à 4.1.36 ;
  • 5.5.0 à 5.5.25 et 6.0.0 à 6.0.14 ;
  • 6.0.5 à 6.0.15.

Résumé

Plusieurs vulnérabilités affectent le moteur de servlets Apache Tomcat. Elles permettent de manipuler des données à distance et cela en contournant la politique de sécurité.

Description

Les vulnérabilités sont dues à la mauvaise validation de différentes entrées. Elles concernent entre autres une mauvaise vérification des caractères insérés dans un cookie.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 février 2008
    version initiale.