Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigli@nce : Apache Tomcat, deux vulnérabilités

août 2008 par Vigil@nce

SYNTHÈSE

Deux vulnérabilités d’Apache Tomcat permettent à un attaquant de mener un XSS ou d’obtenir des informations.

Gravité : 2/4

Conséquences : accès/droits client, lecture de données

Provenance : client internet

Moyen d’attaque : 2 démonstrateurs

Compétence de l’attaquant : spécialiste (3/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 01/08/2008

Référence : VIGILANCE-VUL-7992

PRODUITS CONCERNÉS

- Apache Tomcat [versions confidentielles]

DESCRIPTION

Deux vulnérabilités ont été annoncées dans Apache Tomcat.

La fonction HttpServletResponse.sendError() ne filtre pas correctement le message d’erreur ce qui conduit à un Cross Site Scripting. [grav:2/4 ; CVE-2008-1232]

Lors du traitement d’une requête, le "RequestDispatcher" ne normalise pas correctement le nom de fichier de la ressource. Un attaquant peut alors accéder aux ressources normalement restreintes. [grav:2/4 ; CVE-2008-2370]

CARACTÉRISTIQUES

Références : CVE-2008-1232, CVE-2008-2370, VIGILANCE-VUL-7992

https://vigilance.aql.fr/arbre/1/7992




Voir les articles précédents

    

Voir les articles suivants