Avis du CERTA : Vulnérabilité de Tomcat
décembre 2007 par CERT-FR
1 Risque
Élévation de privilèges.
2 Systèmes affectés
Tomcat, versions 6.0.x et 5.5.x.
3 Résumé
Une vulnérabilité dans Apache Tomcat permet à un utilisateur malveillant
d’élever ses privilèges.
4 Description
Le composant JULI (Java Util Logging Interface) de Tomcat autorise les
applications web à fournir leurs propres configurations de journalisation. La
politique de sécurité par défaut est trop laxiste vis-à-vis de ces
configurations. Cette vulnérabilité permet à une application qui n’est pas de
confiance de modifier ou d’ajouter des fichiers avec les droits du processus
Tomcat.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletins de sécurité Apache Tomcat :
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-5.html
* Référence CVE CVE-2007-5342 :
Articles connexes: