Connexion
Abonnez-vous

La fondation Apache corrige une importante faille dans Tomcat

La fondation Apache corrige une importante faille dans Tomcat

Le 16 avril 2019 à 09h31

La fondation Apache diffuse depuis peu plusieurs mises à jour pour trois branches de Tomcat, utilisé pour monter des serveurs web et des servlets.

Elles corrigent toutes une vulnérabilité (CVE-2019-0232) pouvant permettre, si exploitée, l’exécution d’un code arbitraire. La faille réside dans le servlet CGI (Common Gateway Interface) quand il est exécuté sur Windows avec l’option enableCmdLineArguments active. Cette brèche se produit à cause d’un bug dans la manière dont Java communique des arguments à Windows.

Elle est considérée comme importante, mais pas critique. CGI n’est en effet pas actif par défaut, la branche Tomcat 9.0.X désactivant aussi l’option enableCmdLineArguments. Avec les patchs de sécurité, elle est également coupée par défaut dans les branches 7 et 8.

Les moutures touchées sont les suivantes :

  • 9.0.0.M1 à 9.0.17
  • 8.5.0 à 8.5.39
  • 7.0.0 à 7.0.93

La faille a été communiquée à Apache le 3 mars par Nightwatch Security et révélée le 10 mars suite à la publication des mises à jour. Les administrateurs sont évidemment encouragés à mettre à jour leurs installations aussi rapidement que possible.

Le 16 avril 2019 à 09h31

Commentaires (0)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous

La fondation Apache corrige une importante faille dans Tomcat

Fermer