Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • Apache Tomcat versions antérieures à 5.5.22 ;
  • Apache Tomcat versions antérieures à 6.0.10.

Résumé

Une vulnérabilité présente dans Apache Tomcat permet de contourner la politique de sécurité.

Description

Sous certaines conditions, comme l'utilisation d'un mode mandataire (proxy) tel que : mod_proxy, mod_rewrite ou mod_jk, un manque de contôle de l'adresse réticulaire (URL) permet à un utilisateur malveillant d'accèder à des informations présentes sur le serveur par le biais d'une requête spécialement conçue.

Solution

Les versions 5.5.22 et 6.0.10 d'Apache Tomcat corrigent le problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation