Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Systèmes affectés
- Apache Tomcat 6.0.x.
Résumé
Une vulnérabilité dans Apache Tomcat permet à un utilisateur distant malintentionné de contourner la politique de sécurité et de porter atteinte à la confidentialité des données présentes sur le serveur vulnérable.
Description
Une vulnérabilité de type traversée de répertoire peut être exploitée lorsque l'option allowLinking et la prise en charge de l'encodage UTF-8 sont activés sur le serveur.
Un utilisateur distant malveillant peut exploiter cette vulnérabilité, au moyen d'adresses réticulaires spécialement construites, afin porter atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin du NIST CVE-2008-2938 du 12 août 2008 http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-2938
- Bulletin de sécurité Apache Tomcat : http://tomcat.apache.org/security-6.html
- Référence CVE CVE-2008-2938 https://www.cve.org/CVERecord?id=CVE-2008-2938
