Vigil@nce - Apache Tomcat : obtention d’information via StatusManagerServlet
avril 2016 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant, autorisé à déposer une application web illicite
sur le service, peut utiliser une vulnérabilité dans
StatusManagerServlet de Apache Tomcat, afin d’obtenir des
informations sensibles.
Produits concernés : Tomcat, Debian, BIG-IP Hardware, TMOS,
HP-UX, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Date création : 22/02/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Apache Tomcat peut exécuter une application web de
provenance incertaine avec un Security Manager.
Cependant, une application malveillante peut utiliser
StatusManagerServlet pour obtenir le contenu des requêtes HTTP en
cours de traitement.
Un attaquant, autorisé à déposer une application web illicite
sur le service, peut donc utiliser une vulnérabilité dans
StatusManagerServlet de Apache Tomcat, afin d’obtenir des
informations sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET