L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache Tomcat : déni de service via FileUpload

Synthèse de la vulnérabilité 

Un attaquant peut envoyer des fichiers de taille spécialement choisie à Apache Tomcat, afin de surcharger le serveur.
Produits impactés : Tomcat, Debian, Fedora, HP-UX, Domino, QRadar SIEM, Tivoli Storage Manager, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, IBM WebSphere ESB, WebSphere MQ, MariaDB ~ précis, MySQL Community, MySQL Enterprise, openSUSE Leap, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle iPlanet Web Server, Oracle OIT, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, Oracle Web Tier, Percona Server, Puppet, RHEL, JBoss EAP par Red Hat, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité de ce bulletin : 2/4.
Date de création : 22/06/2016.
Références de cette menace : 1987864, 1989628, 1990172, 1991866, 1991867, 1991870, 1991871, 1991875, 1991876, 1991878, 1991880, 1991882, 1991884, 1991885, 1991886, 1991887, 1991889, 1991892, 1991894, 1991896, 1991902, 1991903, 1991951, 1991955, 1991959, 1991960, 1991961, 1992835, 1995388, 1995793, 2000095, 2000544, 2001563, 2012109, 2015814, 7014463, bulletinjul2016, c05324759, cpuapr2017, cpuapr2018, cpujul2017, cpujul2018, cpuoct2017, CVE-2016-3092, DLA-528-1, DLA-529-1, DSA-3609-1, DSA-3611-1, DSA-3614-1, FEDORA-2016-0a4dccdd23, FEDORA-2016-2b0c16fd82, HPSBUX03665, openSUSE-SU-2016:2252-1, RHSA-2016:2068-01, RHSA-2016:2069-01, RHSA-2016:2070-01, RHSA-2016:2071-01, RHSA-2016:2072-01, RHSA-2016:2599-02, RHSA-2016:2807-01, RHSA-2016:2808-01, RHSA-2017:0455-01, RHSA-2017:0456-01, RHSA-2017:0457-01, SUSE-SU-2017:1660-1, USN-3024-1, USN-3027-1, VIGILANCE-VUL-19953.

Description de la vulnérabilité 

Le produit Apache Tomcat utilise une variante de la bibliothèque Apache Commons FileUpload.

Celle-ci gère la réception de fichier via HTTP. Cependant, lorsque la taille du fichier envoyé est telle que l'ensemble fichier + enveloppe MIME a la même taille que celle du tampon de lecture du fichier, le transfert est anormalement et extrêmement long.

Un attaquant peut donc envoyer des fichiers de taille spécialement choisie à Apache Tomcat, afin de surcharger le serveur.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette vulnérabilité cybersécurité concerne les logiciels ou systèmes comme Tomcat, Debian, Fedora, HP-UX, Domino, QRadar SIEM, Tivoli Storage Manager, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, IBM WebSphere ESB, WebSphere MQ, MariaDB ~ précis, MySQL Community, MySQL Enterprise, openSUSE Leap, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle iPlanet Web Server, Oracle OIT, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, Oracle Web Tier, Percona Server, Puppet, RHEL, JBoss EAP par Red Hat, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce sécurité.

Solutions pour cette menace 

Apache Tomcat : version 7.0.70.
La version 7.0.70 est corrigée :
  http://tomcat.apache.org/download-70.cgi

Apache Tomcat : version 8.0.36.
La version 8.0.36 est corrigée :
  http://tomcat.apache.org/download-80.cgi

Apache Tomcat : version 8.5.3.
La version 8.5.3 est corrigée :
  http://tomcat.apache.org/download-80.cgi

Debian : nouveaux paquetages libcommons-fileupload-java.
De nouveaux paquetages sont disponibles :
  Debian 8 : libcommons-fileupload-java 1.3.1-1+deb8u1

Debian : nouveaux paquetages tomcat7.
De nouveaux paquetages sont disponibles :
  Debian 8 : tomcat7 7.0.56-3+deb8u3
  Debian 7 : tomcat7 7.0.28-4+deb7u5, libcommons-fileupload-java 1.2.2-1+deb7u3

Debian : nouveaux paquetages tomcat8.
De nouveaux paquetages sont disponibles :
  Debian 8 : tomcat8 8.0.14-1+deb8u2

Fedora : nouveaux paquetages tomcat.
De nouveaux paquetages sont disponibles :
  Fedora 23 : tomcat 8.0.36-2.fc23
  Fedora 24 : tomcat 8.0.36-2.fc24

HP-UX Tomcat : version 7.0.70.01.
La version 7.0.70.01 est corrigée :
  https://h20392.www2.hpe.com/portal/swdepot/displayProductInfo.do?productNumber=HPUXWSATW501

IBM BigFix Remote Control : solution.
La solution est indiquée dans les sources d'information.
Voir aussi le bulletin VIGILANCE-SOL-52145.

IBM Cognos Analytics : solution.
La solution est indiquée dans les sources d'information.

IBM Domino : versions corrigées pour iNotes.
Les versions suivantes sont corrigées :
  Domino 9.0.1 Fix Pack 7 Interim Fix 1 : http://www.ibm.com/support/docview.wss?uid=swg21657963
  Domino 8.5.3 Fix Pack 6 Interim Fix 15 : http://www.ibm.com/support/docview.wss?uid=swg21663874

IBM Domino : versions corrigées pour Tomcat.
Les versions corrigées sont indiquées dans les sources d'information.

IBM QRadar SIEM : versions corrigées pour Apache Tomcat.
Les versions corrigées sont indiquées dans les sources d'information.

IBM Tivoli Storage Manager : patch.
Un patch est disponible :
  TSM 7.1 : http://www.ibm.com/support/docview.wss?uid=swg24042520
  TSM 6.4 : http://www.ibm.com/support/docview.wss?uid=swg24041370
  TSM 6.3 : http://www.ibm.com/support/docview.wss?uid=swg24037601

IBM Tivoli System Automation Application Manager : solution pour WebSphere AS.
La solution est indiquée dans les sources d'information.

IBM Tivoli Workload Scheduler : solution pour WebSphere AS.
La solution est indiquée dans les sources d'information.

IBM WebSphere Application Server : version 7.0.0.43.
La version 7.0.0.43 est corrigée.

IBM WebSphere MQ File Transfer Edition : solution pour Apache Commons Fileupload.
La solution est indiquée dans les sources d'information.

IBM WebSphere MQ : solution pour Apache Commons FileUpload.
La solution est indiquée dans les sources d'information.

MySQL : version 5.5.55.
La version 5.5.55 est corrigée.

MySQL : version 5.6.36.
La version 5.6.36 est corrigée.

MySQL : version 5.7.18.
La version 5.7.18 est corrigée.

openSUSE Leap 42.1 : nouveaux paquetages tomcat.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : tomcat 8.0.32-8.1

Oracle Communications : CPU de avril 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2247453.1
  https://support.oracle.com/rs?type=doc&id=2248470.1
  https://support.oracle.com/rs?type=doc&id=2251718.1
  https://support.oracle.com/rs?type=doc&id=2245233.1
  https://support.oracle.com/rs?type=doc&id=2248526.1
  https://support.oracle.com/rs?type=doc&id=2250567.1

Oracle Communications : CPU de juillet 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2410237.1
  https://support.oracle.com/rs?type=doc&id=2406191.1
  https://support.oracle.com/rs?type=doc&id=2410234.1
  https://support.oracle.com/rs?type=doc&id=2408211.1
  https://support.oracle.com/rs?type=doc&id=2406689.1
  https://support.oracle.com/rs?type=doc&id=2408212.1
  https://support.oracle.com/rs?type=doc&id=2410243.1
  https://support.oracle.com/rs?type=doc&id=2410198.1

Oracle Fusion Middleware : CPU de avril 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2353306.1

Oracle Fusion Middleware : CPU de juillet 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2261562.1

Oracle Fusion Middleware : CPU de octobre 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2296870.1

Puppet Enterprise : versions 2018.1.5 et 2019.0.1.
Les versions 2018.1.5 et 2019.0.1 sont corrigées :
  https://puppet.com/

Red Hat JBoss Enterprise Application Platform : version 6.4.11.
La version 6.4.11 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.4

Red Hat JBoss Web Server : version 2.1.2.
La version 2.1.2 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=webserver&downloadType=distributions&version=2.1.2

Red Hat JBoss Web Server : version 3.1.0.
La version 3.1.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?downloadType=distributions&product=webserver&version=3.1.0

RHEL 7 : nouveaux paquetages tomcat.
De nouveaux paquetages sont disponibles :
  RHEL 7 : tomcat 7.0.69-10.el7

Solaris : patch pour logiciels tiers de juillet 2016 v2.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

SUSE LE 12 RTM : nouveaux paquetages tomcat.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : tomcat 7.0.78-7.13.4

Ubuntu : nouveaux paquetages tomcat.
De nouveaux paquetages sont disponibles :
  Ubuntu 16.04 LTS : libtomcat7-java 7.0.68-1ubuntu0.1
  Ubuntu 15.10 : libtomcat7-java 7.0.64-1ubuntu0.3
  Ubuntu 14.04 LTS : libtomcat7-java 7.0.52-1ubuntu0.6
  Ubuntu 12.04 LTS : libtomcat6-java 6.0.35-1ubuntu3.7

Ubuntu : nouveaux paquetages tomcat8.
De nouveaux paquetages sont disponibles :
  Ubuntu 16.04 LTS : tomcat8 8.0.32-1ubuntu1.1

WebSphere AS : solution pour Apache Commons FileUpload.
La solution est indiquée dans les sources d'information.

WebSphere Enterprise Service Bus : solution pour WebSphere AS.
La solution est indiquée dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des bulletins cyber-sécurité. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.