Vigil@nce - Apache Tomcat : obtention de l’identifiant de session malgré disableURLRewriting
mars 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut obtenir l’identifiant d’une session de Apache
Tomcat, afin d’usurper l’identité de l’utilisateur courant.
– Produits concernés : Tomcat, Ubuntu
– Gravité : 2/4
– Date création : 25/02/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Apache Tomcat supporte deux méthodes pour suivre une
session :
– l’identifiant de session est stocké dans un cookie
– l’identifiant de session est fourni en paramètre de l’url
(http://s/ ;jsessionid=1234)
La deuxième méthode est potentiellement dangereuse, car
l’identifiant apparaît par exemple dans les logs des proxies.
L’option disableURLRewriting permet donc de désactiver cette
méthode.
Cependant, depuis la version 6.0.33, l’option est ignorée.
Un attaquant peut donc obtenir l’identifiant d’une session de
Apache Tomcat, afin d’usurper l’identité de l’utilisateur courant.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET