2021-2297: Apache Tomcat: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2021-11-04 13:02)
- Neues Advisory
- Version 2 (2021-11-17 08:33)
- Für SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, SUSE Enterprise Storage 6, SUSE CaaS Platform 4.0, SUSE Linux Enterprise Module for Web Scripting 15 SP2 und 15 SP3 sowie openSUSE Leap 15.3 stehen Sicherheitsupdates für 'tomcat' bereit, um die Schwachstellen zu beheben.
- Version 3 (2021-11-22 09:34)
- Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'tomcat' bereit, um die drei Schwachstellen zu beheben.
Betroffene Software
Server
Betroffene Plattformen
Netzwerk
Cloud
Linux
Beschreibung:
Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle aus der Ferne ausnutzen, um einen HTTP-Request-Smuggling-Angriff durchzuführen. Diese Schwachstelle erfordert die Interaktion eines Benutzers.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Für SUSE OpenStack Cloud 9, SUSE OpenStack Cloud Crowbar 9 und die SUSE Linux Enterprise Produkte Server 12 SP4 LTSS und 12 SP5 sowie Server for SAP 12 SP4 stehen Sicherheitsupdates zur Behebung der Schwachstellen und eines nicht sicherheitsrelevanten Fehlers bereit.
Schwachstellen:
CVE-2021-30640
Schwachstelle in Apache Tomcat ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-33037
Schwachstelle in Apache Tomcat ermöglicht HTTP-Request-Smuggling-AngriffCVE-2021-41079
Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.