Vigil@nce - Apache Tomcat : lecture de fichier XML
août 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Une application web illicite peut changer le parseur XML, et ainsi
accéder au fichier web.xml/context.xml d’une autre application.
Gravité : 2/4
Date création : 12/08/2011
PRODUITS CONCERNÉS
– Apache Tomcat
DESCRIPTION DE LA VULNÉRABILITÉ
Le serveur d’application Apache Tomcat charge successivement
toutes les applications web.
Chaque application possède un fichier WEB-INF/web.xml qui
configure les servlets. Le serveur Tomcat utilise un parseur XML
pour analyser ce fichier.
Cependant, la première application chargée peut remplacer le
parseur par défaut. Elle pourra ensuite lire les fichiers XML des
applications chargées par la suite.
Une application web illicite peut donc changer le parseur XML, et
ainsi accéder au fichier web.xml/context.xml d’une autre
application.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-Tomcat-lecture-de-fichier-XML-10922