2020-2646: Apache Tomcat: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2020-12-04 09:43): Neues Advisory
Version 2 (2020-12-17 11:00): Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'tomcat8' in Version 8.5.54-0+deb9u5 zur Behebung der Schwachstelle zur Verfügung.
Version 3 (2021-01-06 09:52): Für SUSE OpenStack Cloud 9 und Crowbar 9, SUSE Linux Enterprise Server for SAP 12 SP4 sowie SUSE Linux Enterprise Server 12 SP4 LTSS und SP5 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'tomcat' bereit.
Version 4 (2021-01-07 17:27): Für SUSE Linux Enterprise Module for Web Scripting 15 SP1 und 15 SP2 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'tomcat' bereit.
Version 5 (2021-01-11 08:41): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'tomcat' bereit.
Version 6 (2021-01-18 11:39): Für openSUSE Leap 15.1 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'tomcat' bereit.
Version 7 (2021-02-22 10:37): Für SUSE Linux Enterprise Server 12 SP5 und SUSE Linux Enterprise Module for Web Scripting 15 SP2 stehen Sicherheitsupdates für 'tomcat' bereit, um die Schwachstelle CVE-2021-24122 zu beheben.
Version 8 (2021-02-23 09:01): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate zur Behebung der Schwachstelle CVE-2021-24122 in 'tomcat' bereit.

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf Apache Tomcat in den Versionen 8.5.57, 9.0.40 und 10.0.0-M10.

Schwachstellen:

CVE-2020-17527

Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen

CVE-2021-24122