Actu
Vigil@nce : Apache, directory traversal
août 2008 par Vigil@nce
SYNTHÈSE
Un attaquant distant peut avoir accès à des répertoires ou des
fichiers sur la machine hébergeant le site web.
Gravité : 2/4
Conséquences : lecture de données
Provenance : client internet
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : sources multiples (3/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 11/08/2008
Référence : VIGILANCE-VUL-8006
PRODUITS CONCERNÉS
– Apache Tomcat [versions confidentielles]
DESCRIPTION
Le serveur Apache permet de publier des pages web.
Les fichiers constituant un site web sont stockés dans un ou
plusieurs répertoires. Un client internet doit avoir uniquement
accès à ces fichiers.
En utilisant des URLs malformées, il est possible d’atteindre des
répertoires ou des fichiers n’ayant pas vocation à être partagés.
Un attaquant distant peut donc avoir accès à des répertoires ou
des fichiers de la machine hébergeant le site web.
CARACTÉRISTIQUES
Références : BID-30633, CVE-2008-2938, VIGILANCE-VUL-8006
