Apache Software Foundation corrige deux vulnérabilités de criticité importantes dans les dernières mises à jour de Tomcat

Deux failles de criticité importantes, l'une liée à une divulgation d'information et l'autre à un déni de service, ont été corrigées lors des dernières mises à jour du serveur d'application Tomcat.

Les vulnérabilités ont été référencées comme la :

  • CVE-2018-8037: Une vulnérabilité permettant une divulgation d'informations causée par une faille dans le suivi des fermetures de connexion, pouvant résulter d'une réutilisation des sessions utilisateurs;
  • CVE-2018-1336: Une faille dans le décodeur UTF-8 qui pourrait provoquer un déni de service. Il s'agit d'une mauvaise gestion du décalage dans le décodeur UTF-8 pouvant provoquer une boucle infinie.

Des mises à jour sont disponibles pour corriger les vulnérabilités précitées.

Informations
+

Risques

  • Divulgation d'informations;
  • Déni de service.

Criticité

  • CVSS v3 : Les scores CVSS ne sont pas encore définis.

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Les versions vulnérables de Tomcat sont les suivantes:
    • CVE-2018-8037: Versions de 9.0.0.M9 à 9.0.9 et de 8.5.5 à 8.5.31;
    • CVE-2018-1336: Versions 9.0.0.M9 à 9.0.77.0.x, 8.5.0 à 8.5.30, 8.0.0.RC1 à 8.0.51 et 7.0.28 à 7.0.86

CVE

  • CVE-2018-8037
  • CVE-2018-1336

Recommandations
+

Correctifs

  • Les vulnérabilités ont été corrigées à partir des versions 9.0.10 et 8.5.32 pour la vulnérabilité CVE-2018-8037 et 9.0.7, 8.5.32, 8.0.52 et 7.0.90 pour la deuxième vulnérabilité.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.