DFN-CERT-2018-0225 Apache Tomcat Native: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2018-0225 Apache Tomcat Native: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Tomcat Native Library < 1.2.16 Betroffene Plattformen: Red Hat Fedora 26 Red Hat Fedora 27 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe eines speziell präparierten Client-Zertifikats eine Zertifikatsprüfung in Apache Tomcat Native Connector umgehen. Der Connector gibt Apache Tomcat Zugriff auf einige Funktionen der Apache Portable Runtime (APR). Die Schwachstelle wurde vom Hersteller mit Version 1.2.16 der Software behoben, Details dazu wurden erst jetzt bekannt. Für Fedora 26 und 27 sowie für Fedora EPEL 7 stehen Sicherheitsupdates auf diese Version im Status 'testing' bereit. Patch: Apache Tomcat APR/Native Connector Vulnerabilities fixed in Apache Tomcat Native Connector 1.2.16 https://tomcat.apache.org/security-native.html#Fixed_in_Apache_Tomcat_Native_Connector_1.2.16

Patch:

Fedora Security Update FEDORA-2018-318b5d74bd (Fedora 26,
tomcat-native-1.2.16-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-318b5d74bd

Patch:

Fedora Security Update FEDORA-2018-7b1517bc6e (Fedora 27,
tomcat-native-1.2.16-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-7b1517bc6e

Patch:

Fedora Security Update FEDORA-EPEL-2018-18ea640f19 (Fedora EPEL 7,
tomcat-native-1.2.16-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2018-18ea640f19

CVE-2017-15698: Schwachstelle in Apache Tomcat Native Connector ermöglicht
Umgehen von Sicherheitsvorkehrungen

Authority Information Access (AIA) Extension-Felder eines Client-Zertifikats
mit einer Länge größer als 127 Bytes werden von Apache Tomcat Native
Connector 1.2.0 – 1.2.14 und 1.1.23 – 1.1.34 fehlerhaft verarbeitet, wodurch
die Online Certificate Status Protocol (OCSP)-Prüfung übersprungen wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0225/

Schwachstelle CVE-2017-15698 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15698

Apache Tomcat APR/Native Connector Vulnerabilities fixed in Apache Tomcat
Native Connector 1.2.16:
https://tomcat.apache.org/security-native.html#Fixed_in_Apache_Tomcat_Native_Connector_1.2.16

Fedora Security Update FEDORA-2018-318b5d74bd (Fedora 26,
tomcat-native-1.2.16-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-318b5d74bd

Fedora Security Update FEDORA-2018-7b1517bc6e (Fedora 27,
tomcat-native-1.2.16-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-7b1517bc6e

Fedora Security Update FEDORA-EPEL-2018-18ea640f19 (Fedora EPEL 7,
tomcat-native-1.2.16-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2018-18ea640f19

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben