Vigil@nce - Apache Tomcat : création de fichier via tempdir
février 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant, autorisé à déposer une application illicite sur
Apache Tomcat, peut créer des fichiers hors du répertoire
temporaire.
Gravité : 1/4
Date création : 07/02/2011
PRODUITS CONCERNÉS
– Apache Tomcat
DESCRIPTION DE LA VULNÉRABILITÉ
L’attribut javax.servlet.context.tempdir indique le nom du
répertoire temporaire, où sont par exemple stockés les fichiers
intermédiaires lors de la compilation de JSP.
Cependant, une application est autorisée à modifier cet attribut.
Ses fichiers temporaires seront alors déposés dans le répertoire
choisi par l’attaquant.
Un attaquant, autorisé à déposer une application illicite sur
Apache Tomcat, peut donc créer des fichiers hors du répertoire
temporaire.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-Tomcat-creation-de-fichier-via-tempdir-10328