2016-1772: Apache Tomcat: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen und das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2016-10-27 19:34)
- Neues Advisory
- Version 2 (2016-11-22 10:18)
- Debian stellt für die stabile Distribution Debian Jessie Backport-Sicherheitsupdates für 'tomcat7' und 'tomcat8' bereit.
- Version 3 (2017-08-02 17:07)
- Red Hat stellt für die Red Hat Enterprise Linux 7 Produktvarianten Desktop, Server, Server for ARM, Workstation, Linux for IBM z Systems, Linux for Scientific Computing und Linux for Power (little endian und big endian) Sicherheitsupdates zur Behebung der Schwachstellen bereit. Mit diesen Sicherheitsupdates im Rahmen des Releases von Red Hat Enterprise Linux 7.4 wird 'tomcat' auf Version 7.0.76 aktualisiert.
- Version 4 (2017-08-08 19:12)
- Für Oracle Linux 7 (x86_64) wird ein Sicherheitsupdate für den Tomcat zur Behebung der Schwachstellen veröffentlicht.
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in verschiedenen Versionszweigen von Apache Tomcat vor den Versionen 6.0.47, 7.0.72, 8.0.37, 8.5.5 und 9.0.0.M10 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen und das Umgehen von Sicherheitsvorkehrungen mit Hilfe speziell präparierter Webanwendungen oder durch die Ausnutzung von Programmierfehlern.
Die Apache Software Foundation veröffentlicht Informationen zu den Schwachstellen und weist darauf hin, dass Apache Tomcat 6.0.46 und 7.0.71 nicht in den betroffenen Versionen erwähnt sind, da kein offizieller Release erfolgt ist, die Schwachstellen aber dennoch erst mit den Versionen 6.0.47 und 7.0.72 behoben sind. Als weitere Sicherheitsupdates stehen die Versionen 8.0.37, 8.5.5 und 9.0.0.M10 zur Verfügung.
Schwachstellen:
CVE-2016-0762
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2016-5018
Schwachstelle in Apache Tomcat ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-6794
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2016-6796
Schwachstelle in Apache Tomcat ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-6797
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.