vulnérabilité CVE-2010-2227

Apache Tomcat : perturbation de session via Transfer-Encoding

Synthèse de la vulnérabilité

Un attaquant peut employer l'entête HTTP Transfer-Encoding afin de perturber les sessions de Apache Tomcat.

Gravité : 2/4. Date création : 09/07/2010.

Description de la vulnérabilité

L'entête HTTP Transfer-Encoding indique le mode de transfert des données (chunked, compress, deflate, gzip, etc.). Le serveur HTTP de Tomcat ne gère pas correctement les Transfer-Encoding malformés. La requête HTTP suivante peut alors échouer, ou retourner des données appartenant à une autre session. Un attaquant peut donc employer l'entête HTTP Transfer-Encoding afin de perturber les sessions de Apache Tomcat.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : Apache Tomcat : perturbation de session via Transfer-Encoding. Mots clés : Apache HTTP Tomcat Transfer-Encoding perturbation session. Références : BID-41544, CVE-2010-2227, RHSA-2010:0580-01, RHSA-2010:0581-01, RHSA-2010:0582-01, RHSA-2010:0583-01, RHSA-2010:0584-01, VIGILANCE-VUL-9750.

Sources d'information

Publications et annonces

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Cellule de veille technologique sur les vulnérabilités