Multiples vulnérabilités dans Apache Tomcat

Gestion du document

Référence	CERTA-2008-AVI-066
Titre	Multiples vulnérabilités dans Apache Tomcat
Date de la première version	11 février 2008
Date de la dernière version	11 février 2008
Source(s)	Bulletins de sécurité pour Apache Tomcat 4.x, 5.x et 6.x
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Atteinte à l'intégrité des données ;
atteinte à la confidentialité des données.

Systèmes affectés

Les différentes vulnérabilités affectent les versions suivantes :

4.1.0 à 4.1.36 ;
5.5.0 à 5.5.25 et 6.0.0 à 6.0.14 ;
6.0.5 à 6.0.15.

Résumé

Plusieurs vulnérabilités affectent le moteur de servlets Apache Tomcat. Elles permettent de manipuler des données à distance et cela en contournant la politique de sécurité.

Description

Les vulnérabilités sont dues à la mauvaise validation de différentes entrées. Elles concernent entre autres une mauvaise vérification des caractères insérés dans un cookie.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletins de sécurité pour Apache Tomcat 4.x, 5.x et 6.x.

http://tomcat.apache.org/security-4.html

http://tomcat.apache.org/security-5.html

http://tomcat.apache.org/security-6.html

Référence CVE CVE-2007-5333 :

https://www.cve.org/CVERecord?id=CVE-2007-5333

Référence CVE CVE-2007-6286 :

https://www.cve.org/CVERecord?id=CVE-2007-6286

Référence CVE CVE-2008-0002 :

https://www.cve.org/CVERecord?id=CVE-2008-0002

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Apache Tomcat