2017-2106: Apache Tomcat: Mehrere Schwachstellen ermöglichen u.a. Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-11-23 11:55)

Neues Advisory

Version 2 (2017-11-24 10:41)

Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'tomcat' zur Verfügung.

Version 3 (2017-12-14 11:20)

Für die SUSE Linux Enterprise Server Produktvarianten 12 SP1 LTSS und for SAP 12 SP1 sowie SUSE OpenStack Cloud 6 stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung mittels derer außerdem drei Fehlerkorrekturen umgesetzt werden.

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Mehre Schwachstellen in Apache Tomcat können von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, um beliebigen Programmcode mit den Rechten des Apache-Servers auszuführen, Sicherheitsvorkehrungen zu umgehen und möglicherweise den Client- beziehungsweise Server-seitigen Cache zu verunreinigen (Cache Poisoning).

Für die SUSE Linux Enterprise Produkte Server 12 SP2 und 12 SP3 sowie für Server for Raspberry Pi 12 SP2 stehen Backport-Sicherheitsupdates für Apache Tomcat zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2017-12617

Schwachstelle in Apache Tomcat ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5664

Schwachstelle in Apache Tomcat ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-7674

Schwachstelle in Apache Tomcat ermöglicht nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.