Risque

  • Contournement de la politique de sécurité ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • Apache Tomcat 7.0.0-7.0.19 ;
  • Apache Tomcat 6.0.0-6.0.32 ;
  • Apache Tomcat 5.5.0-5.5.33.

Résumé

De multiples vulnérabilités présentes dans le produit Apache Tomcat ont été corrigées. Elles permettent la divulgation de mots de passe utilisateur, l'altération de fichiers de configuration et le contournement de la politique de sécurité.

Description

De multiples vulnérabilités présentes dans le produit Apache Tomcat ont été corrigées. Ces vulnérabilités permettent la divulgation et/ou l'altération d'information. Il convient néanmoins de détailler les informations à risque :

  • contournement de la politique de sécurité permettant l'accès à des fichiers protégés du super-utilisateur (root) (CVE-2011-2729, CVE-2011-2526) ;
  • divulgation du mot de passe de l'utilisateur (CVE-2011-2204) ;
  • divulgation (et/ou modification) des fichiers web.xml, context.xml et fichiers tld d'autres applications web de l'instance Apache Tomcat (CVE-2011-2481).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Il est important de noter, que suivant la documentation de l'éditeur (http://tomcat.apache.org/security-5.html), les mises à jour ne sont pas encore disponibles pour les versions 5.X de Apache Tomcat. Celles-ci seront disponibles lors de la publication de la version 5.5.34 de Apache Tomcat (à paraitre).

Documentation