{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Apache Tomcat 4.0.3 sous Windows NT4.0,  Windows 2000 et Linux.</p>","content":"## Description\n\nTomcat est un module d'Apache permettant l'utilisation des\n`servlet java` ou des pages `javaserver`.  \nTomcat ne filtre pas correctement les requ\u00eates qu'il re\u00e7oit, un lien\npointant vers ce serveur peut donc contenir un script.  \nLe serveur recevant ce type de requ\u00eate va engendrer une page d'erreur\nincluant le script contenu dans la requ\u00eate. Ce script s'ex\u00e9cutera sur le\nposte client muni des droits de l'utilisateur ayant d\u00e9marr\u00e9 le\nnavigateur.  \nUn autre type de requ\u00eate permet de d\u00e9couvrir le r\u00e9pertoire\nd'installation du serveur.\n\n## Contournement provisoire\n\nLe servlet `invoker`, pr\u00e9sent dans le r\u00e9pertoire `/servlet/`, permettant\nd'ex\u00e9cuter des servlets anonymes non d\u00e9finis dans le fichier `web.xml`,\ndoit \u00eatre d\u00e9sactiv\u00e9.  \n`web.xml` se trouve g\u00e9n\u00e9ralement dans :\n`/tomcat_install_dir/conf/web.xml`  \nUne mise \u00e0 jour vers la version 4.1.3 beta corrige la vuln\u00e9rabilit\u00e9 qui\npermet \u00e0 un utilisateur mal intentionn\u00e9 de d\u00e9couvrir le r\u00e9pertoire\nd'installation du module Tomcat.  \nCette mise \u00e0 jour est disponible sur le site :\n\n    http://jakarta.apache.org/tomcat/\n","cves":[],"links":[{"title":"Avis de Westpoint :","url":"http://www.westpoint.ltd.uk/advisories/wp-02-0008.txt"}],"reference":"CERTA-2002-AVI-148","revisions":[{"description":"version initiale.","revision_date":"2002-07-12T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire"},{"description":"Divulgation du r\u00e9pertoire d'installation"}],"summary":"Des vuln\u00e9rabilit\u00e9s du module `tomcat` d'Apache permettent la divulgation\nd'informations ou l'ex\u00e9cution de scripts sur un poste client.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Apache Tomcat","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 de Westpoint","url":null}]}