Risque(s)
- Atteinte à la confidentialité des données
Systèmes affectés
- Apache Tomcat 6 toutes versions
- Apache Tomcat 7 versions antérieures à 7.0.100
- Apache Tomcat 8 versions antérieures à 8.5.51
- Apache Tomcat 9 versions antérieures à 9.0.31
Résumé
Une vulnérabilité a été découverte dans le connecteur AJP de Apache Tomcat, qui est activé par défaut. Elle permet à un attaquant ayant la capacité de se connecter directement sur le connecteur AJP de Tomcat de provoquer une atteinte à la confidentialité des données.
Dans le cas où l'application propose une fonctionnalité de téléchargement de fichier, un attaquant ayant accès à cette fonctionnalité pourrait déposer du code exécutable JSP (JavaServer Pages) et en déclencher l'exécution via la présente vulnérabilité.
Des premières preuves de concept ont été publiées, elles permettent d'accéder à un fichier arbitraire au sein du répertoire d'exécution de Apache Tomcat.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Notes importantes :
- Le nouveau paramétrage du connecteur AJP requiert une adaptation de la configuration pour être fonctionnel ;
- Apache Tomcat 6 n'est plus maintenu par l'éditeur, aucun correctif n'est donc proposé. Il est donc nécessaire de procéder à la mise à jour de Apache Tomcat 6 vers une version supportée.
Documentation
- Bulletin de Sécurité Apache Tomcat 9 du 24 février 2020
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31 - Bulletin de Sécurité Apache Tomcat 8 du 24 février 2020
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.51 - Bulletin de Sécurité Apache Tomcat 7 du 24 février 2020
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100 - Référence CVE CVE-2020-1938
https://www.cve.org/CVERecord?id=CVE-2020-1938