Synthèse
2 vulnérabilités de sécurité de gravité « critique » ont été découvertes dans le populaire serveur web open source développé par Apache Software Foundation. Ces vulnérabilités, si elles sont exploitées, pourraient permettre à un attaquant distant d’exécuter du code arbitraire sur les appareils cibles.
Risque
Impact estimé de la vulnérabilité sur la communauté cible : critique (75,38)
Typologie
- Remote Code Execution
Produits et versions concernés
Apache Tomcat
- 9.x, de la version 9.0.0-M1 à la version 9.0.97
- 10.x, de la version 10.1.0-M1 à 10.1.33
- 11.x, de la version 11.0.0-M1 à 11.0.1
Mesures d’atténuation
Conformément aux déclarations du fournisseur, il est recommandé de mettre à jour les produits vulnérables en suivant les instructions du bulletin de sécurité signalé dans la section Références.
Références
https://lists.apache.org/thread/2bjnh3p78b89n5hw539hh31sr7tt7m22
https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r
https://tomcat.apache.org/security-11.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
1Cette estimation est réalisée en prenant en compte plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils affectés dans la communauté de référence.
