Mises à jour critiques pour Apache Tomcat : corrigez des vulnérabilités majeures de sécurité dès maintenant !

L'Apache Software Foundation a publié d'importantes mises à jour de sécurité pour corriger deux vulnérabilités dans Apache Tomcat, un serveur Web open source et un conteneur de servlets largement utilisés. L'une des vulnérabilités identifiées comme CVE-2024-50379 pourrait permettre aux attaquants d'exécuter du code arbitraire à distance, compromettant potentiellement les systèmes et les données sensibles. Les attaquants pourraient exploiter cette vulnérabilité en téléchargeant des fichiers malveillants déguisés en fichiers légitimes, ce qui conduirait finalement à une exécution de code à distance (RCE).

La deuxième vulnérabilité, identifiée comme CVE-2024-54677 , est une vulnérabilité de déni de service (DoS) affectant l'application Web « examples » incluse avec Apache Tomcat. Cette vulnérabilité pourrait permettre aux attaquants de déclencher une attaque OutOfMemoryErroren téléchargeant des quantités excessives de données, ce qui pourrait provoquer le blocage du serveur et perturber les services. Bien que cette vulnérabilité ait un indice de gravité « faible », il est toujours essentiel de la corriger pour garantir la stabilité et la disponibilité des serveurs Tomcat.

RISQUES

• Atteinte à l'intégrité des données
• Contournement de la politique de sécurité
• Contrôle à distance

SYSTÈMES AFFECTÉS

• Apache Tomcat 11.0.0-M1 à 11.0.1
• Apache Tomcat 10.1.0-M1 à 10.1.33
• Apache Tomcat 9.0.0.M1 à 9.0.97

SOLUTIONS

L'Apache Software Foundation recommande vivement à tous les utilisateurs de mettre à jour immédiatement leurs installations de Tomcat vers les dernières versions. Les versions suivantes contiennent des correctifs pour les deux vulnérabilités :

• Apache Tomcat 11.0.2 ou version ultérieure
• Apache Tomcat 10.1.34 ou version ultérieure
• Apache Tomcat 9.0.98 ou version ultérieure

Source : Security Online