S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 29 novembre 2010
N° CERTA-2010-AVI-567
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Apache Tomcat

Gestion du document

Référence CERTA-2010-AVI-567
Titre Vulnérabilités dans Apache Tomcat
Date de la première version29 novembre 2010
Date de la dernière version29 novembre 2010
Source(s) Liste des Vulnérabilités affectant Apache Tomcat 6.x
Liste des vulnérabilités affectant Apache Tomcat 7.x

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Injection de code indirecte à distance

Systèmes affectés

  • Apache Tomcat 6.0.12 à 6.0.29.
  • Apache Tomcat 7.0.0 à 7.0.4 ;

Résumé

Des vulnérabilités ont été découvertes dans Apache Tomcat. Elles permettent à un utilisateur de faire de l'injection de code indirecte à distance.

Description

Apache Tomcat n'assainit pas correctement les entrées passées via les paramètres short et order by dans sessionsList.jsp. Cette vulnérabilité peut être exploitée par un utilisateur pour faire de l'injection de code indirecte à distance.

Solution

Les versions corrigées sont disponibles sur le serveur subversion de Apache, en attendant la sortie des versions 7.0.5 et 6.0.30. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 29 novembre 2010
    version initiale.