Deux failles de criticité importantes, l'une liée à une divulgation d'information et l'autre à un déni de service, ont été corrigées lors des dernières mises à jour du serveur d'application Tomcat.
Les vulnérabilités ont été référencées comme la :
- CVE-2018-8037: Une vulnérabilité permettant une divulgation d'informations causée par une faille dans le suivi des fermetures de connexion, pouvant résulter d'une réutilisation des sessions utilisateurs;
- CVE-2018-1336: Une faille dans le décodeur UTF-8 qui pourrait provoquer un déni de service. Il s'agit d'une mauvaise gestion du décalage dans le décodeur UTF-8 pouvant provoquer une boucle infinie.
Des mises à jour sont disponibles pour corriger les vulnérabilités précitées.
Risques
- Divulgation d'informations;
- Déni de service.
Criticité
- CVSS v3 : Les scores CVSS ne sont pas encore définis.
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Les versions vulnérables de Tomcat sont les suivantes:
- CVE-2018-8037: Versions de 9.0.0.M9 à 9.0.9 et de 8.5.5 à 8.5.31;
- CVE-2018-1336: Versions 9.0.0.M9 à 9.0.77.0.x, 8.5.0 à 8.5.30, 8.0.0.RC1 à 8.0.51 et 7.0.28 à 7.0.86
CVE
- CVE-2018-8037
- CVE-2018-1336
Correctifs
- Les vulnérabilités ont été corrigées à partir des versions 9.0.10 et 8.5.32 pour la vulnérabilité CVE-2018-8037 et 9.0.7, 8.5.32, 8.0.52 et 7.0.90 pour la deuxième vulnérabilité.
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.