Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Tomcat <= 7.0.39 Betroffene Plattformen: openSUSE 12.3 Eine Schwachstelle in der Upload Funktion von Apache Tomcat ermöglicht es einem entfernten, nicht authentifizierten Angreifer durch den Upload von präparierten JSP-Dateien, beliebigen Programmcode auszuführen. Für openSUSE 12.3 steht ein Update auf Apache Tomcat Version 7.0.42 zur Verfügung, welches die angegebene Schwachstelle behebt. Patch: openSUSE Recommended Update: openSUSE-RU-2014:1264-1 http://lists.opensuse.org/opensuse-updates/2014-10/msg00003.html

CVE-2013-4444: Schwachstelle in Apache Tomcat ermöglicht das Ausführen von
beliebigem Programmcode

Eine Schwachstelle in der Upload Funktion von Apache Tomcat führt dazu, dass
JSP-Dateien nicht korrekt verarbeitet werden. In bestimmten Situationen,
wenn veralteter ‘java.io.File’-Code und eine kundenspezifische
JMX-Konfiguration genutzt wird, kann ein entfernter, nicht authentifizierter
Angreifer beim Zugriff auf eine JSP-Datei, dort eingebetteten Programmcode
zur Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1304/

Schwachstelle CVE-2013-4444 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4444

openSUSE Recommended Update: openSUSE-RU-2014:1264-1:
http://lists.opensuse.org/opensuse-updates/2014-10/msg00003.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.