Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
La fondation Apache corrige une importante faille dans TomcatCrédits : weerapatkiatdumrong/iStock

La fondation Apache diffuse depuis peu plusieurs mises à jour pour trois branches de Tomcat, utilisé pour monter des serveurs web et des servlets.

Elles corrigent toutes une vulnérabilité (CVE-2019-0232) pouvant permettre, si exploitée, l’exécution d’un code arbitraire. La faille réside dans le servlet CGI (Common Gateway Interface) quand il est exécuté sur Windows avec l’option enableCmdLineArguments active. Cette brèche se produit à cause d’un bug dans la manière dont Java communique des arguments à Windows.

Elle est considérée comme importante, mais pas critique. CGI n’est en effet pas actif par défaut, la branche Tomcat 9.0.X désactivant aussi l’option enableCmdLineArguments. Avec les patchs de sécurité, elle est également coupée par défaut dans les branches 7 et 8.

Les moutures touchées sont les suivantes :

  • 9.0.0.M1 à 9.0.17
  • 8.5.0 à 8.5.39
  • 7.0.0 à 7.0.93

La faille a été communiquée à Apache le 3 mars par Nightwatch Security et révélée le 10 mars suite à la publication des mises à jour. Les administrateurs sont évidemment encouragés à mettre à jour leurs installations aussi rapidement que possible.

0 commentaire
Il n'est plus possible de commenter cette actualité.