Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Apache Tomcat Traitement de Cookie Divulgation d'ID de Session

11/02/2008 13H46
Référence Secunia : SA28884 
Date de publication : 2008-02-11

Risque : Non Critique. Niveau 2 sur 5.
Impact : Exposition de données sensibles
Lieu : A distance


Solutions :
Solution de l'éditeur


Produit :
Apache Tomcat 4.x

Référence CVE :
CVE-2007-5333



Description :
Deux vulnérabilités ont été identifiées dans Apache Tomcat, qui pourraient être exploitées par des personnes malintentionnées pour divulguer des informations sensibles.

L'entrée contenant a quote ou a %5C character dans des valeurs de cookie est incorrectement traité.


Solutions :
Corrigé dans le repository SVN pour 4.1.x.

Filtrer les caractères et séquences de caractères malicieux dans un proxy web.


Vulnérabilité découverte par :

L'éditeur crédite John Kew et Ishikawa Yoshihiro.

Référence :
http://seclists.org/bugtraq/2008/Feb/0098.html
http://tomcat.apache.org/security-4.html


Autres références :

SA28878:
http://secunia.com/advisories/28878/




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.