2019-2673: Apache Tomcat: Zwei Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2019-12-19 15:38)

Neues Advisory

Version 2 (2020-01-28 11:04)

Canonical veröffentlicht für die Distribution Ubuntu 16.04 LTS ein Sicherheitsupdate für 'tomcat8' zur Behebung der Schwachstellen. Debian stellt für Debian 8 Jessie (LTS) ein Sicherheitsupdate für 'tomcat7' auf die Version 7.0.56-3+really7.0.99-1 zur Verfügung, um die Schwachstellen zu adressieren.

Version 3 (2020-02-07 10:30)

Für Fedora EPEL 6 steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem 'tomcat' auf Version 7.0.99 aktualisiert wird.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann einen Man-in-the-Middel (MitM)-Angriff durchführen und dadurch sensible Informationen ausspähen, durch die er die komplette Kontrolle über die Tomcat-Instanz erlangen kann. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Session-Fixation-Angriffs.

Apache informiert über die Schwachstellen und veröffentlicht für die Versionszweige 7.x, 8.5.x und 9.x die Versionen 7.0.99, 8.5.50 und 9.0.30, um die Schwachstellen zu beheben. Die Schwachstelle CVE-2019-12418 wurde bereits im November in den Versionszweigen 8.5.x und 9.x mit den Versionen 8.5.49 und 9.0.29 behoben, allerdings erst jetzt öffentlich bekannt gemacht.

Schwachstellen:

CVE-2019-12418

Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen

CVE-2019-17563

Schwachstelle in Apache Tomcat ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.