Risque

Atteinte à la confidentialité des données.

Systèmes affectés

Servlet WebDAV du logiciel Apache Tomcat et logiciels l'utilisant :

  • Apache Tomcat, branches 4, 5 et 6 ;
  • Apache Geronimo, branches 1 et 2 ;
  • Apache Jakarta Slide, branche 2 ;
  • IBM Websphere.

Cette liste n'est pas limitative.

Résumé

Une vulnérabilité dans la servlet WebDAV du logiciel Apache Tomcat permet à un utilisateur malveillant d'accéder à des informations sensibles à distance.

Description

Dans certaines configurations, des requêtes spécialement marquées permettent à un utilisateur distant de lire tout fichier. Cette vulnérabilité permet à un utilisateur malveillant d'accéder à des informations sensibles à distance.

Cette servlet est utilisée dans d'autres logiciels, les rendant également vulnérables.

Solution

Les versions de Tomcat 5.5 SVN et 6.0 SVN corrigent le problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation