Vigil@nce - Apache Tomcat : perturbation de session via Transfer-Encoding
juillet 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer l’entête HTTP Transfer-Encoding afin de
perturber les sessions de Apache Tomcat.
Gravité : 2/4
Date création : 09/07/2010
DESCRIPTION DE LA VULNÉRABILITÉ
L’entête HTTP Transfer-Encoding indique le mode de transfert des
données (chunked, compress, deflate, gzip, etc.).
Le serveur HTTP de Tomcat ne gère pas correctement les
Transfer-Encoding malformés. La requête HTTP suivante peut alors
échouer, ou retourner des données appartenant à une autre session.
Un attaquant peut donc employer l’entête HTTP Transfer-Encoding
afin de perturber les sessions de Apache Tomcat.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-Tomcat-perturbation-de-session-via-Transfer-Encoding-9750