Aller au contenu principal

Dernières informations sur la vulnérabilité de Tomcat dans le contexte d'UT pour ArcGIS

Mise à jour

VertiGIS utilise cette page pour fournir des informations clés sur les vulnérabilités suivantes dans Apache Tomcat 9 et leur impact sur les produits de la famille UT pour ArcGIS.

  • CVE-2025-24813: Apache Tomcat: Potential RCE and/or information disclosure and/or information corruption with partial PUT

    La vulnérabilité affecte Tomcat 9 jusqu'à la version 9.0.98.

Cet article sera mis à jour dès que de nouvelles informations seront disponibles.

 

Informations complémentaires

Dans les produits du contexte de l'UT pour ArcGIS qui utilisent Tomcat 9, les conditions de la vulnérabilité ne sont généralement pas données. Il convient toutefois de les vérifier si nécessaire.

If all of the following were true, a malicious user was able to view security 
sensitive files and/or inject content into those files:
- writes enabled for the default servlet (disabled by default)
- support for partial PUT (enabled by default)
- a target URL for security sensitive uploads that was a sub-directory of a 
  target URL for public uploads
- attacker knowledge of the names of security sensitive files being uploaded
- the security sensitive files also being uploaded via partial PUT

If all of the following were true, a malicious user was able to perform remote 
code execution:
- writes enabled for the default servlet (disabled by default)
- support for partial PUT (enabled by default)
- application was using Tomcat's file based session persistence with the 
  default storage location
- application included a library that may be leveraged in a deserialization 
  attack

Source d'information : https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq 

L'utilisation de versions récentes de Tomcat 9 est en principe possible. En règle générale, seul Tomcat 9 ou une version minimale testée est spécifié comme exigence du système. Aucun test explicite n'est effectué avec les nouvelles versions de Tomcat pour les versions déjà publiées de nos produits. Si des problèmes sont connus, nous les examinons et essayons d'y apporter des solutions dans les plus brefs délais.

L'utilisation de Tomcat 10 ou Tomcat 11 n'est pas possible.

 

Produits apparentés

  • UT CBYD
    Nous n'avons actuellement connaissance d'aucun problème lié à l'utilisation de Tomcat 9.0.99 ou d'une version plus récente.
  • WMPS
    Nous n'avons actuellement connaissance d'aucun problème lié à l'utilisation de Tomcat 9.0.99 ou d'une version plus récente.
  • UT AppConnector
    Lors de l'utilisation de Tomcat 9 avec le numéro de version 9.0.88 ou plus, UT Desktop Suite avec le build 6807 ou plus doit être utilisé si la communication doit se faire via une connexion sécurisée (wss://). Nous n'avons pas connaissance d'autres problèmes liés à l'utilisation de Tomcat 9.0.99 ou supérieur.
  • UT Integrator
    Nous n'avons actuellement connaissance d'aucun problème lié à l'utilisation de Tomcat 9.0.99 ou d'une version plus récente.
  • UTJSC
    Si vous utilisez Tomcat 9 avec le numéro de version 9.0.88, UTJSC_4.2.2397.Patch2 doit également être installé. Le patch est disponible via le portail client Baral ou peut être fourni via le portail de transfert. Nous n'avons pas connaissance d'autres problèmes liés à l'utilisation de Tomcat 9.0.99 ou supérieur.

Articles associés

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.