L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache Tomcat : déni de service via Apache Commons FileUpload

Synthèse de la vulnérabilité 

Un attaquant peut employer un entête Content-Type trop long, pour provoquer une boucle infinie dans Apache Commons FileUpload ou Apache Tomcat, afin de mener un déni de service.
Systèmes impactés : Tomcat, Debian, BIG-IP Hardware, TMOS, Fedora, SiteScope, Domino, QRadar SIEM, Tivoli Storage Manager, WebSphere AS Traditional, ePO, openSUSE, Oracle Communications, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif, vCenter Server, VMware vSphere.
Gravité de cette alerte : 3/4.
Date de création : 06/02/2014.
Date de révision : 13/02/2014.
Références de cette alerte : 1667254, 1676656, 1680564, 1999395, 1999474, 1999478, 1999479, 1999488, 1999532, 2015814, BID-65400, c05324755, CERTFR-2014-AVI-200, CERTFR-2014-AVI-282, CERTFR-2014-AVI-368, CERTFR-2014-AVI-382, cpuoct2016, CVE-2014-0050, DSA-2856-1, DSA-2897-1, FEDORA-2014-2175, FEDORA-2014-2183, HPSBGN03669, MDVSA-2014:056, MDVSA-2015:084, openSUSE-SU-2014:0527-1, openSUSE-SU-2014:0528-1, RHSA-2014:0252-01, RHSA-2014:0253-01, RHSA-2014:0373-01, RHSA-2014:0400-03, RHSA-2014:0401-02, RHSA-2014:0429-01, RHSA-2014:0452-01, RHSA-2014:0459-01, RHSA-2014:0473-01, RHSA-2014:0525-01, RHSA-2014:0526-01, RHSA-2014:0527-01, RHSA-2014:0528-01, RHSA-2015:1009, SB10079, SOL15189, SUSE-SU-2014:0548-1, USN-2130-1, VIGILANCE-VUL-14183, VMSA-2014-0007, VMSA-2014-0007.1, VMSA-2014-0007.2, VMSA-2014-0008, VMSA-2014-0008.2, VMSA-2014-0012.

Description de la vulnérabilité 

Le composant Apache Commons FileUpload gère le téléchargement de fichiers. Il est inclus dans Apache Tomcat.

L'entête HTTP Content-Type indique le type du corps de la requête. Cependant si la taille de cet entête dépasse 4091 octets, la classe fileupload/MultipartStream.java essaie indéfiniment de stocker les données dans un tableau trop court.

Un attaquant peut donc employer un entête Content-Type trop long, pour provoquer une boucle infinie dans Apache Commons FileUpload ou Apache Tomcat, afin de mener un déni de service.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de menace informatique concerne les logiciels ou systèmes comme Tomcat, Debian, BIG-IP Hardware, TMOS, Fedora, SiteScope, Domino, QRadar SIEM, Tivoli Storage Manager, WebSphere AS Traditional, ePO, openSUSE, Oracle Communications, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif, vCenter Server, VMware vSphere.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin cyber-sécurité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter cette alerte de faille.

Solutions pour cette menace 

Apache Tomcat : version 7.0.52.
La version 7.0.52 est corrigée :
  http://tomcat.apache.org/download-70.cgi

Apache Commons FileUpload : version 1.3.1.
La version 1.3.1 est corrigée :
  http://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

Apache Tomcat : patch pour Apache Commons FileUpload.
Un patch est disponible :
  http://svn.apache.org/r1565169

Apache Commons FileUpload : patch.
Un patch est disponible :
  http://svn.apache.org/r1565143

Debian : nouveaux paquetages libcommons-fileupload-java.
De nouveaux paquetages sont disponibles :
  libcommons-fileupload-java 1.2.2-1+deb6
  libcommons-fileupload-java 1.2.2-1+deb7u2

Debian : nouveaux paquetages tomcat7.
De nouveaux paquetages sont disponibles :
  Debian 7 : tomcat7 7.0.28-4+deb7u1

F5 BIG-IP : solution pour Apache Commons FileUpload.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages apache-commons-fileupload.
De nouveaux paquetages sont disponibles :
  Fedora 19 : apache-commons-fileupload 1.3-5.fc19
  Fedora 20 : apache-commons-fileupload 1.3-5.fc20

HPE SiteScope : patch.
Un patch est indiqué dans les sources d'information.

IBM Domino : patch pour Apache Commons FileUpload.
Un patch est disponible :
  http://www-01.ibm.com/support/docview.wss?uid=swg21657963
  http://www.ibm.com/support/docview.wss?uid=swg21663874

IBM QRadar SIEM : version 7.2.8 Patch 4.
La version 7.2.8 Patch 4 est corrigée :
  https://www-945.ibm.com/support/fixcentral/swg/downloadFixes?product=ibm/Other+software/IBM+Security+QRadar+SIEM&release=7.2.0&platform=Linux&function=fixId&fixids=7.2.8-QRADAR-QRSIEM-20170224202650&includeRequisites=1&includeSupersedes=0&downloadMethod=http&source=fc

IBM QRadar SIEM : versions corrigées pour Apache Tomcat.
Les versions corrigées sont indiquées dans les sources d'information.

IBM TSM Operations Center : solution pour Liberty.
La solution est indiquée dans les sources d'information.

JBoss Enterprise Application Platform : patch pour jbossweb.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.2.0
  RHEL 5: jbossweb 7.3.0-2.Final_redhat_2.1.ep6.el5
  RHEL 6: jbossweb 7.3.0-2.Final_redhat_2.1.ep6.el6

Mandriva BS2 : nouveaux paquetages tomcat.
De nouveaux paquetages sont disponibles :
  Mandriva BS2 : tomcat 7.0.59-1.mbs2

Mandriva BS : nouveaux paquetages apache-commons-fileupload.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : apache-commons-fileupload 1.2.2-7.1.mbs1

McAfee ePolicy Orchestrator : version 5.1.1.
La version 5.1.1 est corrigée :
  http://www.mcafee.com/us/downloads/downloads.aspx

openSUSE : nouveaux paquetages jakarta-commons-fileupload.
De nouveaux paquetages sont disponibles :
  openSUSE 12.3 : jakarta-commons-fileupload 1.1.1-114.8.1
  openSUSE 13.1 : jakarta-commons-fileupload 1.1.1-117.121.1

Oracle Communications : CPU de octobre 2016.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2188694.1

Red Hat Fuse ESB Enterprise : patch.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=fuse.esb.enterprise&downloadType=securityPatches&version=7.1.0
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=fuse.mq.enterprise&downloadType=securityPatches&version=7.1.0

Red Hat JBoss A-MQ : version 6.1.0.
La version 6.1.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.amq&downloadType=distributions&version=6.1.0

Red Hat JBoss BRMS/BPMS : patch.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=brms&downloadType=securityPatches&version=6.0.1
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=bpm.suite&downloadType=securityPatches&version=6.0.1

Red Hat JBoss Fuse Service Works : version 6.0.0 roll up patch 1.
La version 6.0.0 roll up patch 1 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.fuse.serviceworks&downloadType=securityPatches&version=6.0.0

Red Hat JBoss Fuse : version 6.1.0.
La version 6.1.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.fuse&downloadType=distributions&version=6.1.0

Red Hat JBoss Operations Network : version 3.2.1.
La version 3.2.1 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=em&downloadType=securityPatches&version=3.2.0

Red Hat JBoss Portal : version 6.2.0.
La version 6.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jbportal&downloadType=distributions

Red Hat JBoss Web Server : patch pour Tomcat.
Un patch est disponible dans les sources d'information.

RHEL 6.5 : nouveaux paquetages tomcat6.
De nouveaux paquetages sont disponibles :
  RHEL 6 : tomcat6 6.0.24-64.el6_5

SUSE LE 11 : nouveaux paquetages jakarta-commons-fileupload.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : jakarta-commons-fileupload 1.1.1-1.37.1

Ubuntu : nouveaux paquetages libtomcat.
De nouveaux paquetages sont disponibles :
  Ubuntu 13.10 : libtomcat7-java 7.0.42-1ubuntu0.1
  Ubuntu 12.10 : libtomcat7-java 7.0.30-0ubuntu1.3
  Ubuntu 12.04 LTS : libtomcat6-java 6.0.35-1ubuntu3.4
  Ubuntu 10.04 LTS : libtomcat6-java 6.0.24-2ubuntu1.15

VMware vCenter Operations Management Suite : versions 5.8.2 et 5.7.3.
Les versions 5.8.2 et 5.7.3 sont corrigées :
  https://www.vmware.com/go/download-vcops

VMware vCenter Orchestrator : version 5.5.2.
La version 5.5.2 est corrigée :
  https://www.vmware.com/go/download-vsphere

VMware vCenter : version 5.1 Update 3.
La version 5.1 Update 3 est corrigée :
  https://www.vmware.com/go/download-vsphere

VMware vCenter : version 5.5 Update 2.
La version 5.5 Update 2 est corrigée :
  https://www.vmware.com/go/download-vsphere

WebSphere AS : patch pour Apache Commons FileUpload.
Un patch est disponible dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une contre-mesure de sécurité informatique. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.