Vigil@nce - Apache Tomcat : déni de service via Chunked TE
mai 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer un entête Transfer-Encoding de type
"chunked", afin de mener un déni de service sur Apache Tomcat.
Produits concernés : Tomcat
Gravité : 2/4
Date création : 13/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
L’entête HTTP Transfer-Encoding peut utiliser le type "chunked",
pour indiquer que les données sont scindées en morceaux avant
d’être transférées.
Lorsque la taille annoncée est trop grande, Tomcat ignore la
requête. Cependant, il continue à traiter les données reçues.
Un attaquant peut donc employer un entête Transfer-Encoding de
type "chunked", afin de mener un déni de service sur Apache Tomcat.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-Tomcat-deni-de-service-via-Chunked-TE-12773