Vigil@nce - Apache Tomcat : déni de service via de nombreux paramètres
février 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer une requête contenant de nombreux
paramètres à Apache Tomcat, afin de surcharger le CPU.
Gravité : 2/4
Date création : 17/01/2012
PRODUITS CONCERNÉS
– Apache Tomcat
DESCRIPTION DE LA VULNÉRABILITÉ
Une requête HTTP GET ou POST utilise des paramètres sous la forme
"para1=valeur¶2=valeur&...".
Le fichier org/apache/tomcat/util/http/Parameters.java décode ces
paramètres. Cependant, l’algorithme utilisé n’est pas performant.
Si la requête contient de nombreux paramètres, Tomcat consomme
alors des ressources processeur importantes.
Un attaquant peut donc envoyer une requête contenant de nombreux
paramètres à Apache Tomcat, afin de surcharger le CPU.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-Tomcat-deni-de-service-via-de-nombreux-parametres-11290