Risques
- Contournement de la politique de sécurité
- Déni de service à distance
Systèmes affectés
- Versions antérieures à Apache Tomcat 5.5.36
- Versions antérieures à Apache Tomcat 6.0.36
- Versions antérieures à Apache Tomcat 7.0.30
Résumé
Deux vulnérabilités ont été corrigées dans Apache Tomcat. Elles permettent à un attaquant de contourner la politique de sécurité et de provoquer un déni de service à distance. La plus critique concerne un problème d'implémentation dans le composant d'authentification Digest. Elle permet dans certaines circonstances de mener une attaque par rejeu.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apache Tomcat 5.5.36 du 10 octobre 2012 http://tomcat.apache.org/security-5.html#Fixed_in_Apache_Tomcat_5.5.36
- Bulletin de sécurité Apache Tomcat version 6.0.36 du 19 octobre 2012 http://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.36
- Bulletin de sécurité Apache Tomcat version 7.0.30 du 06 septembre 2012 http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.30
- Référence CVE CVE-2012-2733 https://www.cve.org/CVERecord?id=CVE-2012-2733
- Référence CVE CVE-2012-3439 https://www.cve.org/CVERecord?id=CVE-2012-3439
