Vigil@nce : Apache, ASP.NET, SiteMinder, Tomcat, contournement VBAAC
mai 2008 par Vigil@nce
SYNTHÈSE
La syntaxe de configuration de certains serveurs web peut induire
en erreur l’administrateur.
Gravité : 1/4
Conséquences : ne décrit pas une vulnérabilité
Provenance : client internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : faible (1/3)
Date création : 28/05/2008
Référence : VIGILANCE-VUL-7858
PRODUITS CONCERNÉS
– Apache httpd [versions confidentielles]
– Apache Tomcat [versions confidentielles]
– CA SiteMinder [versions confidentielles]
– Microsoft IIS [versions confidentielles]
DESCRIPTION
Le protocole HTTP définit plusieurs méthodes : GET, POST, HEAD,
PUT, etc. L’accès à certaines ressources peut être limité pour
certaines méthodes (VBAAC - Verb Based Authentication and Access
Control).
Cependant, la syntaxe de configuration de certains serveurs web
est confuse. Par exemple pour Tomcat, seules les méthodes
précisées (par exemple GET et POST) sont limitées, alors que
toutes les autres sont autorisées (un attaquant peut alors
utiliser HEAD). De même pour ASP.NET.
Un administrateur peut donc involontairement mal configurer son
serveur.
CARACTÉRISTIQUES
Références : VIGILANCE-VUL-7858