Avis du CERTA : Vulnérabilité de Tomcat WebDAV et des applications l’utilisant
novembre 2007 par CERT-FR
1 Risque
Atteinte à la confidentialité des données.
2 Systèmes affectés
Servlet WebDAV du logiciel Apache Tomcat et logiciels l’utilisant :
* Apache Tomcat, branches 4, 5 et 6 ;
* Apache Geronimo, branches 1 et 2 ;
* Apache Jakarta Slide, branche 2 ;
* IBM Websphere.
Cette liste n’est pas limitative.
3 Résumé
Une vulnérabilité dans la servlet WebDAV du logiciel Apache Tomcat permet à un
utilisateur malveillant d’accéder à des informations sensibles à distance.
4 Description
Dans certaines configurations, des requêtes spécialement marquées permettent à
un utilisateur distant de lire tout fichier. Cette vulnérabilité permet à un
utilisateur malveillant d’accéder à des informations sensibles à distance.
Cette servlet est utilisée dans d’autres logiciels, les rendant également
vulnérables.
5 Solution
Les versions de Tomcat 5.5 SVN et 6.0 SVN corrigent le problème. Se référer au
bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section
Documentation).
6 Documentation
* Bulletin de sécurité IBM swg21286112 du 01 novembre 2007 :
http://www-1.ibm.com/support/docview.wss?uid=swg21286112
* Bulletins de sécurité du projet Apache Tomcat :
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-5.html
http://tomcat.apache.org/security-4.html
* Bulletin du projet Apache Geronimo :
http://geronimo.apache.org/2007/10/18/potential-vulnerability-in-apache-tomcat-webdav-servlet.html
* Référence CVE CVE-2007-5461 :