/ Security / Remote Code Execution: Apache-Tomcat-Entwickler schließen Sicherheitslücke

Remote Code Execution: Apache-Tomcat-Entwickler schließen Sicherheitslücke

Moritz Rosenfeld on October 6, 2017 - 9:19 am in Security

Eine Lücke in mehreren Apache-Tomcat-Versionen erlaubt Angreifern unter eher selten gegebenen Voraussetzungen die Schadcode-Ausführung aus der Ferne. Updates schaffen Abhilfe.

Mehrere Versionen des Open-Source-Webservers Apache Tomcat weisen eine Sicherheitslücke auf, die unter bestimmten Umständen das Ausführen von Schadcode aus der Ferne ermöglicht. Betroffen sind laut Entwicklerteam alle Tomcat-Versionen vor 7.0.82, 8.0.47, 8.5.23 und 9.0.1 (beta). Den Schweregrad der Bedrohung definierten sie als “wichtig” (Severity: Important).

Die Lücke mit der Kennung CVE-2017-12617 ermöglicht den Upload einer JavaServer-Page-Datei (JSP) sowie die Ausführung darin enthaltenen Codes auf einem sicherheitsanfälligen Server. Das funktioniert aber nur unter der Voraussetzung einer bestimmten, bereits bestehenden Servlet-Konfiguration, die nach Einschätzung des Sicherheitsforschers Peter Stöckli eher unüblich ist. Die Apache-Tomcat-Versionen 7.0.82, 8.0.47 und 8.5.23 und 9.0.1 beheben die Schwachstelle. (ovw)

Read more on: Source

Comments are disabled