2018-0378: Apache Tomcat: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-02-23 15:49): Neues Advisory
Version 2 (2018-03-20 10:17): Für Fedora 26 und 27 sowie für Fedora EPEL 6 stehen Sicherheitsupdates für Tomcat auf Version 8.0.50 (Fedora 26 und 27) und 7.0.85 (Fedora EPEL 6) im Status 'testing' bereit.
Version 3 (2018-03-26 19:50): SUSE stellt für SUSE Linux Enterprise Server 12 SP2 und 12 SP3 sowie Server for Raspberry Pi 12 SP2 Sicherheitsupdates auf die Tomcat Version 8.0.50 zur Verfügung. Neben den beiden hier referenzierten Schwachstellen wird auch die Schwachstelle CVE-2017-15706 als behoben aufgeführt, die bereits in der Tomcat Version 8.0.48 adressiert wurde und einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen ermöglicht.
Version 4 (2018-04-03 13:37): Für die Distribution openSUSE Leap 42.3 steht ein Sicherheitsupdate auf die Tomcat Version 8.0.50 bereit. Zusätzlich zu den zwei hier referenzierten Schwachstellen wird auch die Schwachstelle CVE-2017-15706 als behoben aufgelistet. Die Schwachstelle CVE-2017-15706 wurde bereits in der Tomcat Version 8.0.48 adressiert und erlaubt einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen.
Version 5 (2018-07-30 11:27): Für die alte stabile Distribution Debian Jessie steht ein Sicherheitsupdate für 'tomcat8' bereit, um die beiden referenzierten Schwachstellen zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in Apache Tomcat ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und dadurch den Zugriff auf eigentlich geschützte Ressourcen.

Der Hersteller stellt Apache Tomcat 7.0.85, 8.0.50, 8.5.28 und 9.0.5 als Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2018-1304

Schwachstelle in Apache Tomcat ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-1305