Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Apache Tomcat WebDAV Divulgation de Contenu de Fichier Arbitraire

25/10/2007 13H59
Référence Secunia : SA27398 
Date de publication : 2007-10-25

Risque : Non Critique. Niveau 2 sur 5.
Impact : Exposition de données sensibles
Lieu : A distance


Solutions :
Solution de l'éditeur


Produit :
Apache Tomcat 4.x
Apache Tomcat 5.x
Apache Tomcat 6.x

Référence CVE :
CVE-2007-5461



Description :
eliteb0y a rapporté une vulnérabilité dans Apache Tomcat, qui pourrait être exploitée par des utilisateurs malicieux pour divulguer des informations sensibles potentielles.

La vulnérabilité est causée du fait d'une erreur dans le servlet WebDAV quand configuré pour utilisation avec un contexte et enabled pour écriture. Cela pourrait être exploité pour divulguer le contenu de fichiers arbitraires via des requêtes WebDAV spécialement conçues qui spécifient une entité avec un tag système.

La vulnérabilité est rapportée affecter les versions suivantes:
* 4.0.0-4.0.6, 4.1.0-4.1.SVN
* 5.0.0-5.0.SVN et 5.5.0-5.5.25.
* 6.0.0-6.0.14


Solutions :
Corrigé dans Apache Tomcat 5.5.SVN et 6.0.SVN.


Vulnérabilité découverte par :

eliteb0y

Référence :
Apache:
http://tomcat.apache.org/security-4.html
http://tomcat.apache.org/security-5.html
http://tomcat.apache.org/security-6.html

milw0rm:
http://www.milw0rm.com/exploits/4530




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.