HSC : Plusieurs failles dans Tomcat 4.x, 5.x et 6.x
août 2008 par HSC
Date : 22-08-2008
Criticité HSC : 3/5 - moyenne
Avis public : Oui
Exploitation : Disponible et publique
Résumé : Plusieurs failles ont été trouvées dans Apache Tomcat (4.x,5.x et 6.x). La plus exploitable dans des conditions normales permet à un attaquant anonyme de lire les fichiers du répertoire WEB-INF, la plus grave (mais pas exploitable dans la configuration par défaut), permet de lire l’ensemble du système de fichiers du serveur hôte.
Source : Apache
Objet : Tomcat
Description :
Trois failles ont été découvertes :
– des problèmes de Cross-Site Scripting (XSS), dans la méthode
HttpServletResponse.sendError(), qui n’est pas échappée dans les
entêtes, permettent d’injecter des caractères arbitraires dans la page
(CVE-2008-1232).
– Un probleme de "directory traversal" (CVE-2008-2370) : lorsqu’une
requête est aiguillée par le moteur standard de Tomcat, le décodage
d’URL intervient avant que les paramètres éventuels ne soient supprimés.
Il est donc possible par exemple d’envoyer une url de type
http://server/appli/blah.jsp?bli=/../WEB-INF/web.xml et de lire ainsi le contenu de la configuration de la WebApp. Cela ne permet en revanche pas de changer de contexte ni de lire des fichiers arbitraires.
- Enfin, un autre problème de "directory traversal" (CVE-2008-2938),
exploitable seulement si le paramètres de l’application "allowLinking"
est placé sur "true" and que le connecteur est configuré avec le
paramètre "URIEncoding" sur "UTF-8". Ces paramétrages ne sont pas ceux par défaut, mais la faille permet de lire n’importe quel fichier sur le
disque du serveur.
Références :
– http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1232
– http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2370
– http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2938
– Avis pour Tomcat 4.x : http://tomcat.apache.org/security-4.html
– Avis pour Tomcat 5.x : http://tomcat.apache.org/security-5.html
– Avis pour Tomcat 6.x : http://tomcat.apache.org/security-6.html
– Exploitation de la deuxième faille :
http://www.securityfocus.com/archive/1/archive/1/495022/100/0/threaded
– Exploitation de la troisième faille :