2020-1134: Apache Tomcat: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-05-29 12:37)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter Angreifer kann mehrere Schwachstellen ausnutzen, um beliebigen Programmcode auszuführen, Informationen auszuspähen, einen HTTP-Request-Smuggling-Angriff durchzuführen und Sicherheitsvorkehrungen zu umgehen. Das Umgehen von Sicherheitsvorkehrungen erfordert die Interaktion eines Benutzers und ermöglicht die vollständige Kompromittierung der betroffenen Software. für die Ausführung beliebigen Programmcodes sind übliche Benutzerrechte erforderlich.

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate zur Behebung der Schwachstellen zur Verfügung. Debian weist darauf hin, dass der Fix für CVE-2020-1938 bestehende Dienste unterbrechen kann, die eine aktive AJP-Konfiguration erfordern, da die Option 'secretRequired' mit dem Update auf 'true' gesetzt wird. Der AJP Connector ist für Debian Jessie bereits standardmäßig deaktiviert.

Schwachstellen:

CVE-2019-17563

Schwachstelle in Apache Tomcat ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-1935

Schwachstelle in Apache Tomcat ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-1938

Schwachstelle in Apache Tomcat ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-9484

Schwachstelle in Apache Tomcat ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.