Vulnérabilité dans Apache Tomcat pour des produits F5 BIG-IP
Date de publication :
Une vulnérabilité dans Apache Tomcat peut permettre à un attaquant d’effectuer une attaque par fixation de session. Ce type d’attaque permet à un attaquant de « fixer » (trouver ou déterminer) l’identifiant de session d’un autre utilisateur et ainsi de l’utiliser à son profit.
CVE-2019-17563 [Score CVSS v3 : 9.8] : Lors d’une authentification par formulaire (FORM authentication) avec Apache Tomcat, il existe une fenêtre de temps lors de laquelle un attaquant peut réaliser une attaque par fixation de session. La fenêtre est considérée comme étant trop courte pour être exploitable mais par précaution, ce problème est traité comme un incident de sécurité par l’éditeur.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Élévation de privilèges
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
- La liste des composants vulnérables est disponible ici
CVE
- CVE-2019-17563
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Aucun correctif de sécurité n’est disponible pour l’instant
Solution de contournement
- Aucune solution de contournement n’est disponible pour l’instant