UPDATE: DFN-CERT-2016-1059 Apache Software Foundation Tomcat: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2016-1059 Apache Software Foundation Tomcat: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (09.08.2016):
Für Fedora EPEL 6 steht mit dem Paket ‘tomcat-7.0.70-2.el6’ ein
Sicherheitsupdate für Tomcat im Status ‘testing’ bereit. Die Schwachstelle
CVE-2015-5174 wurde mit dem vorherigen Update auf Tomcat 7.0.65 bereits
behoben.
Version 2 (06.07.2016):
Für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.10
und Ubuntu 16.04 LTS werden von Canonical Sicherheitsupdates für den
Tomcat veröffentlicht.
Version 1 (30.06.2016):
Neues Advisory

Betroffene Software:

Apache Software Foundation Tomcat

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 15.10
Canonical Ubuntu Linux 16.04 LTS
Debian Linux 8.4 Jessie
Extra Packages for Red Hat Enterprise Linux 6

Mehrere Schwachstellen in Apache Tomcat ermöglichen einem entfernten, nicht
authentifizierten Angreifer mit Hilfe einer Web-Anwendung das Ausführen
beliebigen Programmcodes, die Manipulation von Dateien, einen
Denial-of-Service-Angriff, einen Cross-Site-Request-Forgery-Angriff, das
Erlangen von Benutzerrechten sowie das Ausspähen von Informationen.

Für die die Distribution Debian Jessie (stable) steht ein
Backport-Sicherheitsupdate zur Verfügung.

Patch:

Debian Security Advisory DSA-3609-1

https://www.debian.org/security/2016/dsa-3609

Patch:

Ubuntu Security Notice USN-3024-1

http://www.ubuntu.com/usn/usn-3024-1/

Patch:

Fedora Security Update FEDORA-EPEL-2016-3ff1f4485b (Fedora EPEL 6,
tomcat-7.0.70)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3ff1f4485b

CVE-2016-3092: Schwachstelle in Apache Tomcat ermöglicht
Denial-of-Service-Angriff

In der Apache Commons FileUpload-Komponente von Apache Tomcat existiert eine
Denial-of-Service (DoS)-Schwachstelle. Wenn die ‘Multipart Boundaries’ von
Dateien nur knapp unterhalb der Größe des Puffers (4096 Byte) sind, der
verwendet wird, um hochgeladene Dateien zu lesen, benötigt der
FileUpload-Prozess mehrere Größenordnungen mehr Zeit, als bei den üblichen
10 Bytes. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, indem er wiederholt entsprechende
FileUpload-Requests sendet und damit einen Denial-of-Service (DoS)-Zustand
verursachen.

CVE-2016-0763: Schwachstelle in Apache Tomcat ermöglicht Manipulation von
Dateien

Web-Anwendungen haben Zugriff auf die öffentliche (public) Funktion
‘ResourceLinkFactory.setGlobalContext()’, auch wenn diese unter einem
Sicherheits-Manager (Security Manager) läuft. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer Web-Anwendung eine globalen
Webseite (global context) erstellen und in der Folge den Zugriff auf andere
Web-Anwendungen einschränken und Dateien im Kontext dieser Anwendungen
manipulieren.

CVE-2016-0714: Schwachstelle in Apache Tomcat ermöglicht Ausführung
beliebigen Programmcodes

Die Funktionen ‘StandardManager’ und ‘PersistentManager’ zum Erhalt von
Sessions zum Zugriff auf Dateien, Datenbanken oder selbst konstruierte
Objekte können ausgenutzt werden, um einen Sicherheits-Manager (Security
Manager) zu umgehen. Ein entfernter, nicht authentifizierter Angreifer kann
ein speziell präpariertes Objekt in eine Session einfügen und über den
Programmcode zum Erhalt von Sessions beliebigen Programmcode ausführen.

CVE-2016-0706: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Falls ein Sicherheits-Manager (Security Manager) konfiguriert ist, kann das
interne ‘StatusManagerServlet’ durch verwaltete Web-Awendungen geladen
werden. Die Web-Anwendungen können daraus Informationen über verteilte
Anwendungen und eine Liste momentan prozessierter HTTP-Anfragen extrahieren.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
Web-Anwendung, die unter einem Sicherheits-Manager ausgeführt wird,
Informationen über andere Web-Anwendungen unterhalb des Sicherheits-Managers
ausspähen.

CVE-2015-5351: Schwachstelle in Apache Tomcat ermöglicht
Cross-Site-Request-Forgery-Angriff

Die Indexseiten zu den Manager- und Host-Manager-Anwendungen beinhalten ein
gültiges Cross-Site-Request-Token (CSRF-Token), da eine neue Session
generiert wird, wenn die Anwendungen als Antwort auf einen
unauthentifizierten Zugriff auf das Wurzelverzeichnis der Webseite eine
Umleitung auslösen. Ein entfernter, nicht authentifizierter Angreifer mit
Zugriff auf die Manager- oder Host-Manager-Anwendung kann mit Hilfe des
CSRF-Tokens einen CSRF-Angriff konstruieren.

CVE-2015-5346: Schwachstelle in Apache Tomcat ermöglicht Erlangen von
Benutzerrechten

Bei der erneuten Verwendung (Recycling) von Request-Objekten für einen neue
Anfrage wird das Feld ‘requestedSessionSSL’ nicht recycled. Ein entfernter,
nicht authentifizierter Angreifer kann den Session-Identifizierer
kontrollieren und dadurch die Rechte eines angemeldeten Benutzers während
der parallelen Verteilung (Deployment) einer Webseite erlangen.

CVE-2015-5345: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Beim Zugriff auf ein geschütztes Verzeichnis mit einer URL, die nicht auf
einen Schrägstrich (Slash) endet, leitet Tomcat die Anfrage zunächst mit
angehängtem Schrägstrich weiter, bevor die Sicherheitsprüfung durchgeführt
wird. Ein entfernter, nicht authentifizierter Angreifer kann dadurch die
Existenz eines geschützten Verzeichnisses ermitteln.

CVE-2015-5174: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Beim Zugriff auf Ressourcen durch die Funktionen ‘ getResource()’,
‘getResourceAsStream()’ und ‘ getResourcePaths()’ aus ‘ServletContext’
werden bestimmte relative Pfadangaben als Parameter nicht zurückgewiesen.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
Web-Anwendung, die unter einem Sicherheits-Manager (Security Manager) läuft,
den Inhalt des Verzeichnisses, in dem die angegriffene Web-Anwendung
erstellt wurde, ermitteln.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1059/

Schwachstelle CVE-2015-5174 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5174

Schwachstelle CVE-2015-5345 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5345

Schwachstelle CVE-2015-5346 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5346

Schwachstelle CVE-2015-5351 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5351

Schwachstelle CVE-2016-0706 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0706

Schwachstelle CVE-2016-0714 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0714

Schwachstelle CVE-2016-0763 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0763

Schwachstelle CVE-2016-3092 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3092

Debian Security Advisory DSA-3609-1:
https://www.debian.org/security/2016/dsa-3609

Ubuntu Security Notice USN-3024-1:
http://www.ubuntu.com/usn/usn-3024-1/

Fedora Security Update FEDORA-EPEL-2016-3ff1f4485b (Fedora EPEL 6,
tomcat-7.0.70):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3ff1f4485b

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben