DFN-CERT-2016-1922 Apache Tomcat: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

DFN-CERT-2016-1922 Apache Tomcat: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (15.05.23):
Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die
Schwachstelle CVE-2016-8735 in ihren ‘Known Exploited Vulnerabilities
Catalog’ aufgenommen, da diese aktiv ausgenutzt wird.
Version 2 (02.12.16):
Für die Distributionen Fedora 23, 24 und 25 stehen Sicherheitsupdates auf
die Tomcat Version 8.0.39 zur Behebung der Schwachstellen bereit. Darüber
hinaus steht ein Sicherheitsupdate für Fedora EPEL 6 auf die Version
7.0.73 von Tomcat bereit, mit dem die Schwachstellen CVE-2016-6816 und
CVE-2016-8735 behoben werden. Die Sicherheitsupdates für Fedora 23 und
Fedora EPEL 6 befinden sich bereits im Status ‘testing’, die
Sicherheitsupdates für Fedora 24 und 25 befinden sich noch im Status
‘pending’. F5 Networks informiert in einem Sicherheitshinweis darüber,
welche Produkte und Programmversionen von der Schwachstelle CVE-2016-6816
betroffen sind. Unter anderem ist das BIG-IP Protocol Security Module in
den Versionen 10.2.1 – 10.2.4 und 11.4.0 bis 11.4.1 verwundbar. Es stehen
noch keine Sicherheitsupdates zur Verfügung.
Version 1 (22.11.16):
Neues Advisory

Mehrere Schwachstellen in verschiedenen Versionszweigen von Apache Tomcat
vor den Versionen 6.0.48, 7.0.73, 8.0.39, 8.5.8 und 9.0.0.M13 ermöglichen
einem entfernten Angreifer das Ausspähen von Informationen, die Durchführung
eines Denial-of-Service (DoS)-Angriffs und das Ausführen beliebigen
Programmcodes.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Die Apache Software Foundation veröffentlicht Informationen zu den
Schwachstellen. Als Sicherheitsupdates stehen die Versionen 6.0.48, 7.0.73,
8.0.39, 8.5.8 und 9.0.0.M13 zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2016-1922]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben