Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Tomcat, non restriction des valves

octobre 2008 par Vigil@nce

Lorsqu’une valve est utilisée, un attaquant non autorisé peut
accéder à une ressource protégée.

 Gravité : 1/4
 Conséquences : lecture de données
 Provenance : client internet
 Moyen d’attaque : aucun démonstrateur, aucune attaque
 Compétence de l’attaquant : expert (4/4)
 Confiance : confirmé par l’éditeur (5/5)
 Diffusion de la configuration vulnérable : moyenne (2/3)
 Date création : 13/10/2008

PRODUITS CONCERNÉS

 Apache Tomcat

DESCRIPTION

La classe org.apache.catalina.valves.RequestFilterValve permet de
restreindre l’accès à une ressource. Par exemple :
allow="*.example.com"/>
deny="192.168.1.1"/>

Lorsque Tomcat reçoit deux requêtes simultanées, l’une provenant
d’un client autorisé et l’autre d’un client interdit, une erreur
de synchronisation peut accorder l’accès au client interdit. On
peut noter que cette situation est difficile à reproduire.

Lorsqu’une valve est utilisée, un attaquant non autorisé peut
ainsi dans certains cas accéder à une ressource protégée.

CARACTÉRISTIQUES

 Références : 25835, BID-31698, CVE-2008-3271, VIGILANCE-VUL-8161
 Url : http://vigilance.aql.fr/vulnerabilite/8161


Voir les articles précédents

    

Voir les articles suivants