http://webfault.org/ fr Tue, 12 Aug 2008 12:21:08 +0100 Copyright 2007 - Michael Vergoz http://blogs.law.harvard.edu/tech/rss Dotclear http://webfault.org/post/2008/08/12/Tomcat-%3A-Probleme-dencodage-UTF-8 urn:md5:06b36ef8e77e707a0f1873c37c8bf845 Tue, 12 Aug 2008 12:13:00 +0000 Michael Vergoz Securité ApacheDirectory TraversalTomcatUTF-8 <p>Une faille de sécurité a été découverte par Simon Ryeo dans <a href="http://webfault.org/tag/Apache">Apache</a> <a href="http://webfault.org/tag/Tomcat">Tomcat</a>. Cette faille permet à un attaquant de recupère des fichiers important (comme /etc/passwd ou un fichier .htpasswd) sur le serveur visé.</p> <p>En fait il est possible d'effectuer un <a href="http://webfault.org/tag/Directory%20Traversal">Directory Traversal</a>. Toute les versions de <a href="http://webfault.org/tag/Tomcat">Tomcat</a> inférieur à la version 6.0.18 sont touché.</p> <p>Les conditions sont simples : Si allowLinking et URIencoding autorise l'<a href="http://webfault.org/tag/UTF-8">UTF-8</a> dans votre context.xml ou votre server.xml alors il est possible de recupèrer des fichiers.</p> <pre> Exploit If your webroot directory has three depth(e.g /usr/local/wwwroot), An attacker can access arbitrary files as below. (Proof-of-concept) http://www.target.com/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/foo/bar </pre> <p>Solutions :</p> <ol> <li>Désactiver allowLinking ou ne pas utiliser l'<a href="http://webfault.org/tag/UTF-8">UTF-8</a> dans URIencoding.</li> <li>Utiliser <a href="http://binarysec.com" hreflang="en">BinarySEC</a> :)</li> </ol> <p>Références :</p> <ul> <li><a href="http://www.securityfocus.com/bid/30633/info" hreflang="en">http://www.securityfocus.com/bid/30633/info</a></li> </ul>