2016-1922: Apache Tomcat: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-11-22 18:16)

Neues Advisory

Version 2 (2016-12-02 11:16)

Für die Distributionen Fedora 23, 24 und 25 stehen Sicherheitsupdates auf die Tomcat Version 8.0.39 zur Behebung der Schwachstellen bereit. Darüber hinaus steht ein Sicherheitsupdate für Fedora EPEL 6 auf die Version 7.0.73 von Tomcat bereit, mit dem die Schwachstellen CVE-2016-6816 und CVE-2016-8735 behoben werden. Die Sicherheitsupdates für Fedora 23 und Fedora EPEL 6 befinden sich bereits im Status 'testing', die Sicherheitsupdates für Fedora 24 und 25 befinden sich noch im Status 'pending'. F5 Networks informiert in einem Sicherheitshinweis darüber, welche Produkte und Programmversionen von der Schwachstelle CVE-2016-6816 betroffen sind. Unter anderem ist das BIG-IP Protocol Security Module in den Versionen 10.2.1 - 10.2.4 und 11.4.0 bis 11.4.1 verwundbar. Es stehen noch keine Sicherheitsupdates zur Verfügung.

Version 3 (2023-05-15 11:19)

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2016-8735 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Versionszweigen von Apache Tomcat vor den Versionen 6.0.48, 7.0.73, 8.0.39, 8.5.8 und 9.0.0.M13 ermöglichen einem entfernten Angreifer das Ausspähen von Informationen, die Durchführung eines Denial-of-Service (DoS)-Angriffs und das Ausführen beliebigen Programmcodes.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Die Apache Software Foundation veröffentlicht Informationen zu den Schwachstellen. Als Sicherheitsupdates stehen die Versionen 6.0.48, 7.0.73, 8.0.39, 8.5.8 und 9.0.0.M13 zur Verfügung.

Schwachstellen:

CVE-2016-6816

Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen

CVE-2016-6817

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2016-8735

Schwachstelle in Apache Tomcat ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.