DFN-CERT

Advisory-Archiv

2018-2000: Apache Tomcat: Eine Schwachstelle ermöglicht das Darstellen falscher Informationen

Historie:

Version 1 (2018-10-04 14:43)
Neues Advisory
Version 2 (2018-10-10 20:10)
Canonical stellt für Ubuntu 16.04 LTS ein Backport-Sicherheitsupdate für 'tomcat8' und für Ubuntu 14.04 LTS ein solches für 'tomcat7' bereit, um diese Schwachstelle zu beheben.
Version 3 (2018-10-15 11:54)
Für Debian 8.11 Jessie (LTS) steht ein Sicherheitsupdate für das Paket 'tomcat7' bereit.
Version 4 (2018-10-16 12:33)
Debian veröffentlicht jetzt auch ein auf Tomcat 8 basierendes Backport-Sicherheitsupdate für Jessie (LTS), um die Schwachstelle zu beheben.
Version 5 (2018-10-25 12:08)
Für SUSE Linux Enterprise Server 12 SP3 steht ein Backport-Sicherheitsupdate für Tomcat bereit, mit dem die Schwachstelle behoben wird.
Version 6 (2018-10-26 11:14)
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate zur Verfügung mit dem die Schwachstelle in Tomcat adressiert wird.
Version 7 (2018-11-29 11:34)
Für SUSE Linux Enterprise Server 11 SP4 steht eine Sicherheitsupdate für Tomcat bereit, um die Schwachstelle zu beheben.
Version 8 (2018-12-06 12:34)
Für die SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 und for Web Scripting 15 stehen Sicherheitsupdates auf die Tomcat Version 9.0.12 zur Behebung der Schwachstelle zur Verfügung.
Version 9 (2018-12-10 11:53)
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate auf die Tomcat Version 9.0.12 zur Behebung der Schwachstelle zur Verfügung.
Version 10 (2018-12-17 10:45)
Für Fedora 28 und 29 sowie Fedora EPEL 6 stehen Sicherheitsupdates für Tomcat im Status 'testing' bereit, um die Schwachstelle zu beheben. Dabei wird Tomcat für Fedora 28 auf die Version 8.5.35, für Fedora 29 auf die Version 9.0.13 und für Fedora EPEL 6 auf die Version 7.0.92 aktualisiert.
Version 11 (2019-03-14 11:08)
Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten Server, for ARM, for Scientific Computing, Workstation und Desktop sowie EUS Compute Node 7.6, Server AUS, EUS und TUS 7.6 Sicherheitsupdates für Tomcat, um die Schwachstelle zu beheben. Korrespondierend stellt Oracle ein Sicherheitsupdate für Oracle Linux 7 (x86_64) zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Apache Tomcat mit Hilfe einer speziell präparierten URL ausnutzen, um durch die verwundbare Instanz von Apache Tomcat eine Weiterleitung auf einen beliebigen URI erzeugen zu lassen. Der Angreifer kann dadurch falsche Informationen darstellen (Open Redirect), wodurch weitere Angriffe erleichtert werden.

Für Apache Tomcat stehen die Versionen 9.0.12, 8.5.34 und 7.0.91 als Sicherheitsupdates zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2018-11784

Schwachstelle in Apache Tomcat ermöglicht Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.