S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 31 août 2011
N° CERTA-2011-AVI-485
Affaire suivie par: CERT-FR
le 31 août 2011

Avis du CERT-FR

Objet: Vulnérabilité dans Apache Tomcat

Gestion du document

Référence CERTA-2011-AVI-485
Titre Vulnérabilité dans Apache Tomcat
Date de la première version 31 août 2011
Date de la dernière version 31 août 2011
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données.

Systèmes affectés

Apache Tomcat, versions 5.5.x, 6.0.x et 7.0.x.

Résumé

Une vulnérabilité dans Apache Tomcat permet à un utilisateur malveillant de contourner la politique de sécurité et de porter atteinte à l'intégrité et à la confidentialité de données.

Description

Une vulnérabilité dans Apache Tomcat affecte le traitement du protocole AJP (Apache JServ Protocol).

Elle permet à un utilisateur malveillant d'insérer une adresse IP de client ou le nom d'un utilisateur authentifié, et de provoquer le mélange des réponses de requêtes d'utilisateurs différents.

Solution

Les correctifs sont les suivants selon les branches :

  • révision 1162960, puis version 5.5.34 dès publication ;
  • révision 1162959, puis version 6.0.34 dès publication ;
  • révision 1162958, puis version 7.0.21 dès publication.

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 31 août 2011
    version initiale.