30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

Vigil@nce : Apache Tomcat, obtention d’information via WWW-Authenticate

avril 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsqu’une partie du site Tomcat est protégée par une
authentification, et si la directive realm-name n’est pas
configurée, un attaquant peut obtenir le nom réel du serveur.

– Gravité : 1/4
– Date création : 22/04/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Lorsque l’authentification HTTP Basic/Digest est activée, Apache
Tomcat retourne au client :
HTTP/1.1 401 Unauthorized
WWW-Authenticate : Basic realm="NomDuRealm" ...

Le nom du realm provient de la directive "" du fichier
de configuration web.xml. Cependant, si cette directive est
absente, Tomcat génère automatiquement le nom du realm :
getServerName() + " :" + getServerPort()
Le nom du serveur (ou son adresse IP) est donc utilisé.

Lorsqu’une partie du site Tomcat est protégée par une
authentification, et si la directive realm-name n’est pas
configurée, un attaquant peut donc obtenir le nom réel du serveur.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-Tomcat-obtention-d-information-via-WWW-Authenticate-9604

Voir les articles précédents

Voir les articles suivants

Les événements

23 avril Paris 9h à 13h : Conférence Appian, Cap Gemini sur le thème Financial Services et Assurances

30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Voir les articles précédents

Voir les articles suivants

23 avril Paris 9h à 13h : Conférence Appian, Cap Gemini sur le thème Financial Services et Assurances

Voir tous les évènements

Vulnérabilités

All our news in english

Alle unsere News auf deutsch

Global Security Mag Copyright 2011