Apache Tomcat : Correction d’une vulnérabilité critique affectant plusieurs versions

Plusieurs nouvelles versions d’Apache Tomcat sont sorties le 3 octobre 2017.

Ces versions corrigent la vulnérabilité suivante :

Lorsque la méthode HTTP PUT est activée sur le serveur web, il est possible d’uploader un fichier contenant du code sur le serveur en forgeant une requête spécifique. Ce fichier peut ensuite être appelé par un attaquant externe pour exécuter du code à distance sur le serveur ou gagner un accès distant sur celui-ci. (CVE-2017-12617)

Informations
+

Impact

  • Exécution de corde arbitraire à distance

Criticité 

Importante

Existence d’un code d’exploitation de la vulnérabilité

L’exploitation de la vulnérabilité est triviale. Une preuve de concept est déjà disponible à l'adresse : https://bz.apache.org/bugzilla/show_bug.cgi?id=61542 

Composants & versions vulnérables

  • Apache Tomcat, versions 9.0.0.M1 à 9.0.0
  • Apache Tomcat, versions 8.5.0 à 8.5.22
  • Apache Tomcat, versions 8.0.0.RC1 à 8.0.46
  • Apache Tomcat, versions 7.0.0 à 7.0.81

CVE

  • CVE-2017-12617

Recommandations
+

Correctifs

Il est recommandé d’appliquer les correctifs de sécurité mis à disposition par l’éditeur et de mettre à jour Apache Tomcat jusqu’à minima les versions suivantes :

  • Apache Tomcat 9.0.1
  • Apache Tomcat 8.5.23
  • Apache Tomcat 8.0.47
  • Apache Tomcat 7.0.82

Solution de contournement

Si la mise à jour n’est pas possible dans l’immédiat, il est possible de réduire les risques d’exploitation de la vulnérabilité par l’implémentation d’un pare-feu applicatif (WAF) ou la désactivation de la méthode HTTP PUT si non nécessaire.