UPDATE: DFN-CERT-2016-1068 Apache Commons FileUpload, Apache Tomcat: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2016-1068 Apache Commons FileUpload, Apache Tomcat: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (15.08.2016):
Für Fedora 23, 24 und 25 stehen zur Korrektur der Fileupload-Schwachstelle
Sicherheitsupdates für Tomcat in der Version 8.0.36 im Status ‘testing’
bereit.
Version 3 (07.07.2016):
Canonical veröffentlicht für die Distribution Ubuntu 16.04 LTS ein
Sicherheitsupdate zur Korrektur der Tomcat FileUpload Schwachstelle.
Version 2 (04.07.2016):
Debian stellt Sicherheitsupdates für die Distributionen Jessie (stable)
und Stretch (testing) Sicherheitsupdates für Tomcat (tomcat7) bereit.
Version 1 (01.07.2016):
Neues Advisory

Betroffene Software:

Apache Commons FileUpload <= 1.3.1 Apache Software Foundation Tomcat Betroffene Plattformen: Canonical Ubuntu Linux 16.04 LTS Debian Linux 8.4 Jessie Debian Linux 8.5 Jessie Debian Linux 9.0 Stretch Red Hat Fedora 23 Red Hat Fedora 24 Red Hat Fedora 25 Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle ausnutzen, indem er wiederholt bestimmte FileUpload-Anfragen sendet und damit einen Denial-of-Service (DoS)-Zustand verursachen. Für die Distributionen Debian Jessie (stable) und Stretch (testing) stehen Sicherheitsupdates bereit. Patch: Debian Security Advisory DSA-3611-1 https://www.debian.org/security/2016/dsa-3611

Patch:

Debian Security Advisory DSA-3614-1

https://www.debian.org/security/2016/dsa-3614

Patch:

Ubuntu Security Notice USN-3027-1

http://www.ubuntu.com/usn/usn-3027-1/

Patch:

Fedora Security Update FEDORA-2016-0a4dccdd23 (Fedora 23, tomcat-8.0.36)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-0a4dccdd23

Patch:

Fedora Security Update FEDORA-2016-2b0c16fd82 (Fedora 24, tomcat-8.0.36)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-2b0c16fd82

Patch:

Fedora Security Update FEDORA-2016-f4a443888b (Fedora 25, tomcat-8.0.36)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-f4a443888b

CVE-2016-3092: Schwachstelle in Apache Tomcat ermöglicht
Denial-of-Service-Angriff

In der Apache Commons FileUpload-Komponente von Apache Tomcat existiert eine
Denial-of-Service (DoS)-Schwachstelle. Wenn die ‘Multipart Boundaries’ von
Dateien nur knapp unterhalb der Größe des Puffers (4096 Byte) sind, der
verwendet wird, um hochgeladene Dateien zu lesen, benötigt der
FileUpload-Prozess mehrere Größenordnungen mehr Zeit, als bei den üblichen
10 Bytes.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1068/

Schwachstelle CVE-2016-3092 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3092

Debian Security Advisory DSA-3611-1:
https://www.debian.org/security/2016/dsa-3611

Debian Security Advisory DSA-3614-1:
https://www.debian.org/security/2016/dsa-3614

Ubuntu Security Notice USN-3027-1:
http://www.ubuntu.com/usn/usn-3027-1/

Fedora Security Update FEDORA-2016-0a4dccdd23 (Fedora 23, tomcat-8.0.36):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-0a4dccdd23

Fedora Security Update FEDORA-2016-2b0c16fd82 (Fedora 24, tomcat-8.0.36):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-2b0c16fd82

Fedora Security Update FEDORA-2016-f4a443888b (Fedora 25, tomcat-8.0.36):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-f4a443888b

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben