Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (02.02.2017):
Durch das letzte Sicherheitsupdate für Tomcat wurde eine Regression
eingeführt. Diese betrifft Installationen, die mit einem Security Manager
gestartet werden und bewirkt, dass Tomcat nicht mehr gestartet werden kann
oder neue Sicherheitsupdates nicht installiert werden können. Canonical
stellt für Ubuntu 12.04 LTS und 14.04 LTS aktualisierte Sicherheitsupdates
zur Verfügung.
Version 1 (24.01.2017):
Neues Advisory
Betroffene Software:
Apache Software Foundation Tomcat
Betroffene Plattformen:
Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Mehrere Schwachstellen in Apache Tomcat ermöglichen auch einem entfernten,
nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das
Ausspähen von Informationen sowie das Umgehen von Sicherheitsvorkehrungen.
Die als ‘httpoxy’-Problem bekannte Schwachstelle CVE-2016-5388 ermöglicht
einem entfernten, nicht authentisierten Angreifer ebenfalls
Sicherheitsvorkehrungen zu umgehen.
Canonical stellt für Ubuntu 16.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und
Ubuntu 12.04 LTS verschiedene Sicherheitsupdates für Tomcat 8, Tomcat 7 bzw.
Tomcat 6 zur Verfügung, um diese Schwachstellen zu beheben.
Patch:
Ubuntu Security Notice USN-3177-1
http://www.ubuntu.com/usn/usn-3177-1/
Patch:
Ubuntu Security Notice USN-3177-2
https://www.ubuntu.com/usn/usn-3177-2/
CVE-2016-9775: Schwachstelle in Apache Tomcat ermöglicht Ausführung
beliebigen Programmcodes mit Administratorrechten
Bei der Installation des Pakets ‘tomcat8’ wird der Gruppe ‘tomcat8’
Schreibzugriff auf das Verzeichnis ‘/etc/tomcat8/Catalina’ gewährt. Ein
lokaler, nicht authentifizierter Angreifer, der sich beispielsweise durch
Ausnutzung der Schwachstelle CVE-2016-1240 die erweiterten Rechte des
Benutzers ‘tomcat’ verschafft, kann eine beliebige Datei in diesem
Verzeichnis erstellen und diese über ‘chmod 2747’ für alle Benutzer des
Systems änderbar und ausführbar machen. Bei einer Deinstallation von
‘tomcat8’ werden das Verzeichnis und alle Inhalte durch das ‘postrm’-Skript
rekursiv ‘root:root’ zugeordnet, so dass ein lokaler, nicht
authentifizierter Angreifer über die dafür erstellte Datei anschließend
beliebigen Programmcode mit Administratorrechten ausführen kann.
CVE-2016-9774: Schwachstelle in Apache Tomcat ermöglicht u.a. Ausspähen von
Informationen
Bei der Installation des Pakets ‘tomcat8’ wird der Gruppe ‘tomcat8’
Schreibzugriff auf das Verzeichnis ‘/etc/tomcat8/Catalina’ gewährt. Ein
lokaler, nicht authentifizierter Angreifer, der sich beispielsweise durch
Ausnutzung der Schwachstelle CVE-2016-1240 die erweiterten Rechte des
Benutzers ‘tomcat’ verschafft, kann symbolische Verknüpfungen auf beliebige
Systemdateien in diesem Verzeichnis erstellen. Beim nächsten Update von
‘tomcat8’ werden die Zugangsberechtigungen der Ziele der Verknüpfungen
analog zum Verzeichnisinhalt auf ‘775’ gesetzt. Ein lokaler, nicht
authentifizierter Angreifer kann sich dadurch beispielsweise Lesezugriff auf
‘/etc/shadow’ oder andere kritische Dateien verschaffen und in der Folge
möglicherweise seine Privilegien eskalieren.
CVE-2016-8745: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen
Mit der Umgestaltung des ‘Connector’-Programmcodes ab der Apache Tomcat
Programmversion 8.5.x wurde eine Regression in die Fehlerbehandlung des ‘NIO
HTTP-Connector’ eingeführt. Diese verursacht, dass ein Prozess von mehreren
konkurrierenden Anfragen verwendet werden kann, wodurch unbeabsichtigt
sensitive Informationen offen gelegt werden können. Ein entfernter, nicht
authentisierter Angreifer kann durch einen erfolgreichen Angriff sensitive
Informationen ausspähen.
CVE-2016-8735: Schwachstelle in Apache Tomcat ermöglicht Ausführen
beliebigen Programmcodes
Der ‘JmxRemoteLifecycleListener’ wurde nicht entsprechend der Fehlerbehebung
für die Java-Schwachstelle CVE-2016-3427 (seitens Oracle) aktualisiert.
Dadurch existiert in Tomcat-Installationen, welche diesen Listener
verwenden, weiterhin eine ähnliche Schwachstelle. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
beliebigen Programmcode zur Ausführung zu bringen. Allerdings wird die
Schwachstelle weniger kritisch als CVE-2016-3427 bewertet, da eine geringere
Anzahl von Installationen den Listener verwendet und die JMX Ports nur in
seltenen Fällen für Angreifer erreichbar sein sollten.
CVE-2016-6816: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen
Der Programmcode zur Verarbeitung der HTTP-Anfragezeile erlaubt ungültige
Zeichen. In Verbindung mit einem Proxy-Server, welcher ebenfalls ungültige
Zeichen zulässt, jedoch mit einer abweichenden Interpretation, kann dieses
Verhalten ausgenutzt werden, um Daten in die HTTP-Antwort einzuschleusen.
Ein entfernter, nicht authentifizierter Angreifer kann durch Manipulation
der HTTP-Antwort den Web-Zwischenspeicher verunreinigen (Cache Poisoning)
und dadurch einen Cross-Site-Scripting (XSS)-Angriff durchführen oder
Informationen aus fremden Anfragen ausspähen.
CVE-2016-6797: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen
Die ‘ResourceLinkFactory’ begrenzt den Zugang von Webanwendungen zu globalen
Java Naming and Directory Interface (JDNI)-Ressourcen nicht auf diejenigen,
die mit der Webanwendung über ‘ResourceLinks’ explizit verknüpft sind. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Webanwendung auf Ressourcen zugreifen, die der Anwendung
eigentlich vorenthalten sind und dadurch sensitive Informationen ausspähen
und möglicherweise weitere Angriffe ausführen.
CVE-2016-6796: Schwachstelle in Apache Tomcat ermöglicht Umgehen von
Sicherheitsvorkehrungen
Durch Manipulation der Konfigurationsparameter des JavaServer Pages
(JSP)-Servlets kann ein entfernter, nicht authentifizierter Angreifer mit
Hilfe einer speziell präparierten Webanwendung den konfigurierten
‘SecurityManager’ umgehen und dadurch möglicherweise beliebigen Programmcode
außerhalb des vom ‘SecurityManager’ zur Ausführung von Java-Applets zur
Verfügung gestellten Sandkastens (Sandbox) ausführen.
CVE-2016-6794: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen
Der ‘SecurityManager’ kontrolliert den Lesezugriff von Webanwendungen auf
Systemeigenschaften nicht ausreichend. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Webanwendung über die ‘Property Replacement’-Fähigkeit für
Konfigurationsdateien sensitive Informationen über das unterliegende System
ausspähen.
CVE-2016-5018: Schwachstelle in Apache Tomcat ermöglicht Umgehen von
Sicherheitsvorkehrungen
Durch einen Programmierfehler ist es einem entfernten, nicht
authentifizierten Angreifer durch Verwendung einer speziell präparierten
Webanwendung mit Zugriff auf eine Hilfsfunktion (Utility Method) von Apache
Tomcat möglich, einen konfigurierten ‘SecurityManager’ zu umgehen und
dadurch möglicherweise beliebigen Programmcode außerhalb des vom
SecurityManager zur Ausführung von Java-Applets zur Verfügung gestellten
Sandkastens (Sandbox) auszuführen. Ein entfernter, nicht authentifizierter
Angreifer kann Sicherheitsvorkehrungen umgehen.
CVE-2016-0762: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen
Die Implementierungen von ‘Realm’ in Apache Tomcat verarbeiten eingegebene
Passwörter nicht, falls der zugeordnete Benutzername nicht existiert. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch in einem
zeitbasierten Angriff (Timing Attack) gültige Benutzernamen erraten.
CVE-2016-5388: “Schwachstelle” in Apache Tomcat ermöglicht Umgehen von
Sicherheitsvorkehrungen
Der Apache Tomcat bis Version 8.5.4 ist konform zu RFC 3875 Sektion 4.1.18
und schützt deshalb Anwendungen nicht vor nicht vertrauenswürdigen
Client-Daten in der HTTP_PROXY-Umgebungsvariablen. Dadurch ist es möglich,
mittels eines präparierten Proxy-Headers in einem HTTP-Request den
ausgehenden HTTP-Verkehr einer Anwendung auf einen beliebigen Proxy-Server
umzuleiten (‘httpoxy’-Problem). HINWEIS: Der Hersteller teilt dazu mit, dass
diese CVE für Anpassungen in einem zukünftigen Tomcat Release zur Vermeidung
dieses Problems vergeben wurde, mit anderen Worten, es handelt sich hierbei
nicht um eine Schwachstelle im Sinne eines fehlerhaften Verhaltens. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0137/
Schwachstelle CVE-2016-5388 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5388
Schwachstelle CVE-2016-0762 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0762
Schwachstelle CVE-2016-5018 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5018
Schwachstelle CVE-2016-6794 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6794
Schwachstelle CVE-2016-6796 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6796
Schwachstelle CVE-2016-6797 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6797
Schwachstelle CVE-2016-6816 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6816
Schwachstelle CVE-2016-8735 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8735
Schwachstelle CVE-2016-8745 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8745
Schwachstelle CVE-2016-9774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9774
Schwachstelle CVE-2016-9775 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9775
Ubuntu Security Notice USN-3177-1:
http://www.ubuntu.com/usn/usn-3177-1/
Ubuntu Security Notice USN-3177-2:
https://www.ubuntu.com/usn/usn-3177-2/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
