Vulnérabilité dans Apache Tomcat

Date de publication : 26/05/2020

Une vulnérabilité a été découverte dans Apache Tomcat. Un attaquant distant exploitant cette vulnérabilité peut exécuter du code arbitraire sur la machine vulnérable. L’exploitation de cette vulnérabilité est cependant soumises à de nombreuses conditions.

CVE-2020-9484 [Score CVSS v3 : 9.8] : Une vulnérabilité de type exécution de code arbitraire a été découverte dans Apache Tomcat. Cette vulnérabilité ne peut être exploitée que si 4 conditions sont réunies, l’attaquant doit ainsi deviner ou obtenir certaines informations tandis que le serveur doit être configuré d’une façon spécifique (certaines conditions étant déjà respectées par défaut).

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exécution de code arbitraire

Criticité

Score CVSS v3 : 9.8

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

Apache Tomcat 7.0 jusqu’à la version 7.0.103 (incluse)
Apache Tomcat 8.5 jusqu’à la version 8.5.54 (incluse)
Apache Tomcat 9.0.1 jusqu’à la version 9.0.34 (incluse)

CVE

CVE-2020-9484

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Apache Tomcat vers une version non-vulnérable (voir la section “composants vulnérables”)

Solution de contournement

Aucune solution de contournement n’est disponible

Liens

openSUSE-SU-2020:0711-1: important: Security update for tomcat