Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • Apache Tomcat version 4.1.37 et versions antérieures ;
  • Apache Tomcat version 5.5.26 et versions antérieures ;
  • Apache Tomcat version 6.0.16 et versions antérieures.

Résumé

Deux vulnérabilités ont été découvertes dans le serveur web Apache Tomcat. Ces vulnérabilités peuvent être exploitées afin de contourner la politique de sécurité.

Description

Deux vulnérabilités ont été découvertes dans les versions , et d'Apache Tomcat :

  • la première vulnérabilité est due à une mauvaise gestion des arguments passés à la fonction
    HttpServletResponse.sendError(). Cette vulnérabilité peut être exploitée afin de réaliser une attaque par injection de code indirecte (Cross Site Scripting) ;
  • la seconde vulnérabilité permet d'atteindre des ressources en accès restreint.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation