DFN-CERT-2017-1914 Apache Software Foundation Tomcat: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat]

DFN-CERT-2017-1914 Apache Software Foundation Tomcat: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Tomcat

Betroffene Plattformen:

Oracle Linux 6
Oracle Linux 7
Red Hat Enterprise Linux for Scientific Computing 6
Red Hat Enterprise Linux for Scientific Computing 7
Red Hat Enterprise Linux 7.4 EUS Compute Node
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server for ARM 7
Red Hat Enterprise Linux Server 7.4 AUS
Red Hat Enterprise Linux Server 7.4 EUS
Red Hat Enterprise Linux Server 7.4 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7

Mehrere Schwachstellen im Apache Tomcat ermöglichen einem entfernten, nicht
authentisierten Angreifer das Ausführen beliebigen Programmcodes, das
Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen
(CVE-2017-5664) sowie die Durchführung nicht spezifizierter Angriffe
(CVE-2017-7674).

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte Server,
Workstation, Scientific Computing und Desktop sowie für Server 7.4 EUS, AUS
und TUS, Server for ARM 7 und EUS Compute Node 7.4 Sicherheitsupdates
bereit. Oracle veröffentlicht für Oracle Linux 6 (i386, x86_64) und Oracle
Linux 7 (x86_64) Sicherheitsupdates.
Die Schwachstelle CVE-2017-5664 wird dabei nur für den Versionszweig 6 und
die Schwachstelle CVE-2017-7674 nur für die 7er Versionen behoben.

Patch:

Oracle Linux Security Advisory ELSA-2017-3080

https://linux.oracle.com/errata/ELSA-2017-3080.html

Patch:

Oracle Linux Security Advisory ELSA-2017-3081

https://linux.oracle.com/errata/ELSA-2017-3081.html

Patch:

Red Hat Security Advisory RHSA-2017:3080

https://access.redhat.com/errata/RHSA-2017:3080

Patch:

Red Hat Security Advisory RHSA-2017:3081

https://access.redhat.com/errata/RHSA-2017:3081

CVE-2017-12617: Schwachstelle in Apache Tomcat ermöglicht Ausführung
beliebigen Programmcodes

Eine Schwachstelle im Apache Tomcat basiert auf einem nicht näher
beschriebenen Fehler im Kontext der erlaubten Benutzung von ‘HTTP PUT’. Die
Verwendung von ‘HTTP PUT’ wird beispielsweise durch das Setzen des
‘readonly’ Initialisierungsparameters des Default Servlets auf ‘false’
erlaubt. Die Schwachstelle ermöglicht einem entfernten, nicht
authentisierten Angreifer über speziell präparierte Anfragen das Hochladen
beliebiger JSP-Dateien auf das Server-System. Diese JSP-Dateien können
anschließend angefragt werden, wodurch der enthaltene Programmcode durch das
Server-System zur Ausführung gebracht wird.

CVE-2017-12615: Schwachstelle in Apache Tomcat ermöglicht Ausführen
beliebigen Programmcodes

Eine Schwachstelle in Apache Tomcat Version 7.0.0 bis 7.0.79 basiert auf
einem nicht näher beschrieben Fehler im Kontext der erlaubten Benutzung von
‘HTTP PUT’ auf Windows-Systemen, wodurch einem entfernten, nicht
authentisierten Angreifer das Hochladen beliebiger JSP-Dateien auf das
Server-System mit speziell präparierten Anfragen ermöglicht wird. Diese
JSP-Dateien können anschließend angefragt werden, wodurch der enthaltene
Code durch das Server-System zur Ausführung gebracht wird. Ein entfernter,
nicht authentisierter Angreifer kann beliebigen Programmcode ausführen.

CVE-2017-7674: Schwachstelle in Apache Tomcat ermöglicht nicht spezifizierte
Angriffe

Der Cross-Origin-Ressource-Sharing (CORS)-Filter in Apache Tomcat fügt keine
‘HTTP Vary’-Kopfdateien hinzu. Dies ermöglicht es unter bestimmten
Umständen, den Client- beziehungsweise Server-seitigen Cache zu
verunreinigen (Cache Poisoning). Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstelle für nicht näher spezifizierte Angriffe
ausnutzen.

CVE-2017-5664: Schwachstelle in Apache Tomcat ermöglicht Umgehen von
Sicherheitsvorkehrungen

Apache Tomcats ‘Default Servlet’ verarbeitet Fehlerseiten, die auf einer
statischen Datei basieren, fehlerhaft, da diese nicht wie erwartet wie eine
gewöhnliche GET-Anfrage ohne Berücksichtigung der verwendeten HTTP-Methode
verarbeitet werden. In Abhängigkeit der ursprünglichen Anfrage kann dieses
zu einem unerwarteten und unerwünschten Verhalten führen, was, wenn das
Default Servlet Schreibvorgänge erlaubt, auch das Überschreiben der
Fehlerseite beinhalten kann. Ein entfernter, nicht authentisierter Angreifer
kann dadurch Sicherheitsvorkehrungen umgehen.

Im Kontext des Oracle Critical Patch Update Advisory October 2017 existiert
diese Schwachstelle in der Subkomponente Monitoring: General (Apache Tomcat)
des MySQL Enterprise Monitors in den Versionen 3.2.8.2223 und früheren,
3.3.4.3247 und früheren und 3.4.2.4181 und früheren und wird im Kontext von
Oracle MySQL erwähnt und behoben.

CVE-2017-5647: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Bei der Behandlung von zur Verarbeitung vorbereiteten Anfragen (Pipelined
Requests) existiert eine Schwachstelle, durch welche die vorbereitete
Anfrage verloren geht, sobald die Verarbeitung der vorherigen Anfrage durch
‘Send File’ abgeschlossen ist. Dadurch kann es vorkommen, dass Antworten
(Responses) auf die falsche Anfrage zurückgesendet erscheinen. Sendet ein
Benutzeragent beispielsweise die Anfragen A, B und C, sieht er in diesem
Fall die korrekte Antwort auf die Anfrage A, aber die Antwort auf die
Anfrage C erscheint als Antwort für die Anfrage B und es erfolgt keine
Antwort auf Anfrage C. Dadurch können unbeabsichtigt sensitive Informationen
offengelegt werden. Ein entfernter, nicht authentisierter Angreifer kann
diese Informationen durch einen erfolgreichen Angriff ausspähen.

Im Kontext des Oracle Critical Patch Update Advisory CPUJul2017 besteht
diese leicht ausnutzbare Schwachstelle in der Subkomponente ‘Monitoring:
Server (Apache Tomcat)’ der Komponente MySQL Enterprise Monitor in Oracle
MySQL. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle über das HTTP over TLS-Protokoll ausnutzen und lesend auf
kritische oder sämtliche der über die Komponente erreichbaren Dateien
zugreifen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1914/

Schwachstelle CVE-2017-5647 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5647

Schwachstelle CVE-2017-5664 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5664

Schwachstelle CVE-2017-7674 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7674

Schwachstelle CVE-2017-12615 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12615

Schwachstelle CVE-2017-12617 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12617

Oracle Linux Security Advisory ELSA-2017-3080:
https://linux.oracle.com/errata/ELSA-2017-3080.html

Oracle Linux Security Advisory ELSA-2017-3081:
https://linux.oracle.com/errata/ELSA-2017-3081.html

Red Hat Security Advisory RHSA-2017:3080:
https://access.redhat.com/errata/RHSA-2017:3080

Red Hat Security Advisory RHSA-2017:3081:
https://access.redhat.com/errata/RHSA-2017:3081

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben