Vulnérabilité dans Apache Tomcat
Date de publication :
Une vulnérabilité a été découverte dans certaines versions de Tomcat permettant une interception des communications et le vol des identifiants par un attaquant local. Une fois volés, ces identifiants peuvent être utilisés pour prendre le contrôle de l’instance Tomcat.
CVE-2019-12418 (score CVSS v3 : 7.0) : Lorsque Tomcat est configuré avec l’option JMX (Java Extension Management) Remote Lifecycle Listener, un attaquant local sans accès au processus Tomcat ni à ses fichiers de configurations, peut manipuler le registre RMI (Remote Method Invocation) pour effectuer une attaque de type homme du milieu afin d’intercepter les identifiants de connexion JMX. Ces identifiants peuvent ensuite être utilisés pour prendre le contrôle de l’instance Tomcat.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Vol d’identifiants
- Élévation de privilèges
Criticité
- Score CVSS v3 : 7.0
Existence d’un code d‘exploitation
- Aucun code n’est disponible
Composants vulnérables
- Apache Tomcat de la version 9.0.0.M1 à 9.0.28
- Apache Tomcat de la version 8.5.0 à 8.5.47
- Apache Tomcat de la version 7.0.0 à 7.0.97
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Il est recommandé de mettre à jour les versions impactées vers l’une des versions suivantes ou une version plus récente
- Apache Tomcat 9.0.29
- Apache Tomcat 8.5.49
- Apache Tomcat 7.0.99
Solution de contournement
Il est recommandé de désactiver JMX Remote Lifecycle Listener de Tomcat et d’utiliser les fonctionnalités JMX fournies par la machine virtuelle Java.