Vulnérabilité dans Apache Tomcat

Date de publication : 06/11/2020

Une vulnérabilité a été découverte dans Apache Tomcat. Un attaquant distant non-authentifié peut obtenir des informations sensibles.

CVE-2020-13943 [Score CVSS v3 : 4.3] : Une vulnérabilité a été découverte dans le traitement des requêtes HTTP/2 de Apache Tomcat. Un attaquant distant non-authentifié peut obtenir des informations contenues dans de précédentes requêtes via l’envoi de requêtes HTTP/2 spécialement conçues.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Fuite d’informations sensibles

Criticité

Score CVSS v3 : 4.3

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

Apache Tomcat 10 avant la version 10.0.0-M8
Apache Tomcat 9 avant la version 9.0.38
Apache Tomcat 8 avant la version 8.5.58

CVE

CVE-2020-13943

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Apache Tomcat vers une version non-vulnérable (voir la section “Composants vulnérables”)

Solution de contournement

Aucune solution de contournement n’est disponible

Liens

[SECURITY] CVE-2020-13943 Apache Tomcat HTTP/2 Request mix-up