2016-0314: Apache Software Foundation Tomcat: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2016-02-22 18:52)
- Neues Advisory
- Version 2 (2016-02-25 11:18)
- Für die Distributionen Fedora 22 und 23 stehen Sicherheitsupdates auf die Tomcat Versionen 7.0.68 im Status 'pending' bzw. 8.0.32 im Status 'testing' bereit.
- Version 3 (2016-02-29 16:02)
- Für die Distribution Fedora 22 steht das Paket tomcat-7.0.68-2.fc22 als Sicherheitsupdate im Status 'testing' bereit. Das zuvor veröffentlichte Update auf das Paket tomcat-7.0.68-1.fc22 wurde in den Status 'obsolete' gesetzt.
- Version 4 (2016-03-14 11:19)
- Für die Distribution Fedora 22 wurde das Update auf die Tomcat Version 7.0.68 in Form des Paketes tomcat-7.0.68-2.fc22 erneut abgelöst. Während sich das Sicherheitsupdate FEDORA-2016-b19c75d748 im Status 'obsolete' befindet, wurde ein neues Sicherheitsupdate FEDORA-2016-e6651efbaf, das Paket tomcat-7.0.68-3.fc22, im Status 'testing' veröffentlicht.
- Version 5 (2016-03-15 16:52)
- Für SUSE Linux Enterprise Server 12 SP1 steht Tomcat 8.0.32 als Sicherheitsupdate bereit.
- Version 6 (2016-03-21 11:01)
- Für SUSE Linux Enterprise Server 12 steht ein Update auf die Tomcat Version 7.0.68 als Sicherheitsupdate bereit.
- Version 7 (2016-03-21 16:17)
- Für SUSE Linux Enterprise Server 11 SP4 steht ein Sicherheitsupdate auf die Tomcat Version 6.0.45 bereit, welches die Schwachstellen CVE-2015-5174, CVE-2015-5345, CVE-2016-0706 und CVE-2016-0714 adressiert.
- Version 8 (2016-03-23 12:59)
- F5 Networks teilt mit, welche Produkte und Programmversionen von den Schwachstellen betroffen sind. Unter anderem ist BIG-IP Protocol Security Module (PSM) in den Versionen 10.1.0 - 10.2.4 und 11.0.0 - 11.4.1 von den Schwachstellen CVE-2015-5174, CVE-2015-5345, CVE-2016-0706 und CVE-2016-0714 betroffen. F5 Networks setzt nur den Versionszweig Apache Tomcat 6.x ein, so dass die eigenen Produkte nicht von CVE-2015-5346, CVE-2015-5351 und CVE-2016-0763 betroffen sind. Ein Sicherheitsupdate ist derzeit nicht verfügbar.
- Version 9 (2016-03-24 10:19)
- Für die Distribution openSUSE Leap 42.1 steht ein Sicherheitsupdate auf die Tomcat Version 8.0.32 bereit.
- Version 10 (2016-04-18 15:27)
- Debian stellt für die Distributionen Debian Jessie (stable), Wheezy (oldstable) und Stretch (testing) Sicherheitsupdates für Tomcat 7 bereit. Das Sicherheitsupdate für Debian Wheezy behebt zusätzlich die beiden Schwachstellen CVE-2014-0119 und CVE-2014-0096.
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Apache Tomcat ermöglichen einem entfernten, nicht authentifizierten Angreifer mit Hilfe einer Web-Anwendung das Ausführen beliebigen Programmcodes, die Manipulation von Dateien, einen Cross-Site-Request-Forgery-Angriff, das Erlangen von Benutzerrechten sowie das Ausspähen von Informationen.
Die Apache Software Foundation informiert über die Schwachstellen und stellt entsprechende Sicherheitsupdates zur Verfügung. Die Schwachstellen betreffen unterschiedliche Versionen von Apache Tomcat und sind mit den Versionen 6.0.45, 7.0.68, 8.0.32 und 9.0.0.M3 behoben.
Schwachstellen:
CVE-2014-0096
Schwachstelle in Apache Tomcat erlaubt Ausspähen von InformationCVE-2014-0119
Schwachstelle in Apache Tomcat erlaubt Ausspähen von InformationCVE-2015-5174
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2015-5345
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2015-5346
Schwachstelle in Apache Tomcat ermöglicht Erlangen von BenutzerrechtenCVE-2015-5351
Schwachstelle in Apache Tomcat ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2016-0706
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2016-0714
Schwachstelle in Apache Tomcat ermöglicht Ausführung beliebigen ProgrammcodesCVE-2016-0763
Schwachstelle in Apache Tomcat ermöglicht Manipulation von Dateien
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.