Patch für Apache Tomcat schließt Sicherheitslücke

Im Apache Tomcat-Server gibt es eine Remote Code Execution-Schwachstelle. Die Entwickler haben diese Sicherheitslücke jetzt mit einem Update behoben. Wer einen Apache Tomcat-Server betreibt, sollte diesen zeitnah aktualisieren.


Anzeige

Apache Tomcat ist ein Open Source Web-Server und Servlet-System, welches von der Apache Software Foundation (ASF) entwickelt wird. Das Projekt verwendet mehrere Java EE-Spezifikationen wie Java Servlet, JavaServer Pages (JSP), Expression Language und WebSocket, um eine “reine Java” HTTP-Webserverumgebung für das Java-Konzept bereitzustellen.

Remote Code Execution-Sicherheitslücke (CVE-2019-0232)

Allerdings ist eine Remote Code Execution-Sicherheitslücke (CVE-2019-0232) in älteren Versionen von Apache Tomcat bekannt. Die Schwachtstlle befindet sich im Common Gateway Interface (CGI) Servlet, wenn die Software unter Windows mit aktivierten enableCmdLineArguments ausgeführt wird. Dann kann die Schwachstelle aufgrund eines Fehlers in der Art und Weise auf, wie die Java Runtime Environment (JRE) Befehlszeilenargumente an Windows übergibt, ausgenutzt werden. Entdeckt wurde die Schwachstelle am 3. März 2019 von Spezialisten bei Nightwatch Cybersecurity und am 10. April 2019 in diesem Beitrag offen gelegt. Dieser Blog-Beitrag beschreibt mögliche Angriffe.

Da das CGI-Servlet standardmäßig deaktiviert ist und die Option enableCmdLineArguments in Tomcat 9 ebenfalls .0.x standardmäßig deaktiviert ist, wurde die Schwachstelle zwar als wichtig, aber nicht als kritisch eingestuft. Die Entwickler deaktivieren jetzt aber standardmäßig die Option CGI Servlet enableCmdLineArguments nun in allen Versionen von Apache Tomcat. Betroffen sind folgende Tomcat-Versionen:

  • Apache Tomcat 9.0.0.M1 to 9.0.17
  • Apache Tomcat 8.5.0 to 8.5.39
  • Apache Tomcat 7.0.0 to 7.0.93

allerdings nur unter Windows, wenn die obige Option aktiviert ist.

Updates für Apache Tomcat

Die Apache Software Foundation (ASF) hat nachfolgend aufgeführte neue Versionen ihres Tomcat-Anwendungsservers veröffentlicht, um diese Sicherheitslücke zu schließen.

  • Apache Tomcat 9.0.18 and later
  • Apache Tomcat 8.5.40 and later
  • Apache Tomcat 7.0.94 and later

Wer einen Tomcat Apache-Server unter Windows betreibt, sollte also reagieren. Weitere Hinweise finden sich bei The Hacker News – und Heise hat gestern hier berichtet. Die Information zum Update findet sich auf dieser Mailing-List (wird bei mir wegen ungültigem Zertifikat im Browser nur mit Tricks geöffnet).


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.