2020-0501: Apache Tomcat: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-03-12 11:58): Neues Advisory
Version 2 (2020-05-08 13:29): Für die stabile Distribution Debian Buster steht ein Sicherheitsupdate für 'tomcat9' auf Version 9.0.31-1~deb10u1 bereit. Die Fehlerbehebung für CVE-2020-1938 erfordert möglicherweise Konfigurationsänderungen, wenn Tomcat mit AJP Connector verwendet wird, z. B. in Kombination mit 'libapache-mod-jk'. Beispielsweise ist das Attribut 'secretRequired' nun per Voreinstellung auf 'true' gesetzt. Für betroffene Setups wird empfohlen, vor Anwendung des Updates die Konfigurationsreferenz für den AJP Connector durchzulesen (Referenz anbei).

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer verschiedene HTTP-Request-Smuggling-Angriffe und möglicherweise weitere Angriffe, das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen, einen Denial-of-Service (DoS)-Angriff und das Umgehen von Sicherheitsvorkehrungen. Im letzteren Fall ist für einen erfolgreichen Angriff die Interaktion eines Benutzers erforderlich. Eine weitere Schwachstelle ermöglicht einem lokalen Angreifer einen Man-in-the-Middle (MitM)-Angriff und dadurch das Ausspähen von Informationen, welche ihm die komplette Übernahme der Tomcat-Instanz ermöglichen.

Für SUSE Linux Enterprise Server 12 SP4 und 12 SP5 stehen Sicherheitsupdates für 'tomcat' auf Version 9.0.31 bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2019-10072

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2019-12418

Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen

CVE-2019-17563

Schwachstelle in Apache Tomcat ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-17569

Schwachstelle in Apache Tomcat ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-1935