L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache Tomcat : élévation de privilèges via Web Application

Synthèse de la vulnérabilité 

Un attaquant peut créer une application illicite, et inviter l'administrateur à l'installer sur Apache Tomcat, afin d'élever ses privilèges.
Produits impactés : Tomcat, Debian, HP-UX, Tivoli System Automation, WebSphere AS Traditional, Oracle Communications, Solaris, RHEL.
Gravité de ce bulletin : 2/4.
Date de création : 18/05/2015.
Références de cette menace : bulletinoct2015, c05054964, cpujul2018, CVE-2014-7810, DSA-3428-1, DSA-3447-1, DSA-3530-1, HPSBUX03561, ibm10729557, ibm10739953, RHSA-2015:1621-01, RHSA-2015:1622-01, RHSA-2016:0492-01, VIGILANCE-VUL-16917.

Description de la vulnérabilité 

L'administrateur de Apache Tomcat peut accepter d'installer des applications web de provenance non sûre.

Cependant, ces applications peuvent utiliser l'Expression Language pour contourner le Security Manager.

Un attaquant peut donc créer une application illicite, et inviter l'administrateur à l'installer sur Apache Tomcat, afin d'élever ses privilèges.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette faille cyber-sécurité concerne les logiciels ou systèmes comme Tomcat, Debian, HP-UX, Tivoli System Automation, WebSphere AS Traditional, Oracle Communications, Solaris, RHEL.

Notre équipe Vigil@nce a déterminé que la gravité de cette faille cybersécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette menace.

Solutions pour cette menace 

Apache Tomcat : version 8.0.17.
La version 8.0.17 est corrigée :
  http://tomcat.apache.org/download-80.cgi

Apache Tomcat : version 7.0.59.
La version 7.0.59 est corrigée :
  http://tomcat.apache.org/download-70.cgi

Apache Tomcat : version 6.0.44.
La version 6.0.44 est corrigée :
  http://tomcat.apache.org/

Debian : nouveaux paquetages tomcat6.
De nouveaux paquetages sont disponibles :
  Debian 7 : tomcat6 6.0.45+dfsg-1~deb7u1

Debian : nouveaux paquetages tomcat7.
De nouveaux paquetages sont disponibles :
  Debian 8 : tomcat7 7.0.56-3+deb8u1

Debian : nouveaux paquetages tomcat8.
De nouveaux paquetages sont disponibles :
  Debian 8 : tomcat8 8.0.14-1+deb8u1

HP-UX : Tomcat version 6.0.45.01.
Tomcat version 6.0.45.01 est corrigé :
  https://h20392.www2.hpe.com/portal/swdepot/displayProductInfo.do?productNumber=HPUXWSATW407

IBM Tivoli System Automation Application Manager : solution pour WebSphere AS CVE-2014-7810.
La solution est indiquée dans les sources d'information.

Oracle Communications : CPU de juillet 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2410237.1
  https://support.oracle.com/rs?type=doc&id=2406191.1
  https://support.oracle.com/rs?type=doc&id=2410234.1
  https://support.oracle.com/rs?type=doc&id=2408211.1
  https://support.oracle.com/rs?type=doc&id=2406689.1
  https://support.oracle.com/rs?type=doc&id=2408212.1
  https://support.oracle.com/rs?type=doc&id=2410243.1
  https://support.oracle.com/rs?type=doc&id=2410198.1

Red Hat JBoss Web Server : nouveaux paquetages tomcat.
De nouveaux paquetages sont disponibles :
  RHEL 5 : tomcat6 6.0.41-15_patch_04.ep6.el5, tomcat7 7.0.54-19_patch_04.ep6.el5
  RHEL 6 : tomcat6 6.0.41-15_patch_04.ep6.el6, tomcat7 7.0.54-19_patch_04.ep6.el6
  RHEL 7 : tomcat6 6.0.41-15_patch_04.ep6.el7, tomcat7 7.0.54-20_patch_04.ep6.el7

Red Hat JBoss Web Server : patch pour Tomcat.
Un patch est disponible :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=webserver&downloadType=securityPatches&version=2.1.0

RHEL 6.7 : nouveaux paquetages tomcat6.
De nouveaux paquetages sont disponibles :
  RHEL 6 : tomcat6 6.0.24-94.el6_7

Solaris : patch pour Third Party (10/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

WebSphere AS : solution pour Tomcat.
La solution est indiquée dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des alertes de vulnérabilités applicatives. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.