Plusieurs nouvelles versions d’Apache Tomcat sont sorties le 3 octobre 2017.
Ces versions corrigent la vulnérabilité suivante :
Lorsque la méthode HTTP PUT est activée sur le serveur web, il est possible d’uploader un fichier contenant du code sur le serveur en forgeant une requête spécifique. Ce fichier peut ensuite être appelé par un attaquant externe pour exécuter du code à distance sur le serveur ou gagner un accès distant sur celui-ci. (CVE-2017-12617)
Impact
- Exécution de corde arbitraire à distance
Criticité
Importante
Existence d’un code d’exploitation de la vulnérabilité
L’exploitation de la vulnérabilité est triviale. Une preuve de concept est déjà disponible à l'adresse : https://bz.apache.org/bugzilla/show_bug.cgi?id=61542
Composants & versions vulnérables
- Apache Tomcat, versions 9.0.0.M1 à 9.0.0
- Apache Tomcat, versions 8.5.0 à 8.5.22
- Apache Tomcat, versions 8.0.0.RC1 à 8.0.46
- Apache Tomcat, versions 7.0.0 à 7.0.81
CVE
- CVE-2017-12617
Correctifs
Il est recommandé d’appliquer les correctifs de sécurité mis à disposition par l’éditeur et de mettre à jour Apache Tomcat jusqu’à minima les versions suivantes :
- Apache Tomcat 9.0.1
- Apache Tomcat 8.5.23
- Apache Tomcat 8.0.47
- Apache Tomcat 7.0.82
Solution de contournement
Si la mise à jour n’est pas possible dans l’immédiat, il est possible de réduire les risques d’exploitation de la vulnérabilité par l’implémentation d’un pare-feu applicatif (WAF) ou la désactivation de la méthode HTTP PUT si non nécessaire.