DFN-CERT-2016-0537 HP-UX Apache Tomcat: Mehrere Schwachstellen erlauben u.a. das Ausführen beliebigen Programmcodes [Unix]

DFN-CERT-2016-0537 HP-UX Apache Tomcat: Mehrere Schwachstellen erlauben u.a. das Ausführen beliebigen Programmcodes [Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Tomcat < C.6.0.45.01 Betroffene Plattformen: HP-UX family of operating systems B.11.31 Mehrere Schwachstellen in Apache Tomcat ermöglichen einem entfernten, nicht authentifizierten Angreifer, Denial-of-Service-Angriffe durchzuführen, Sicherheitsvorkehrungen zu umgehen, Informationen auszuspähen und beliebigen Programmcode auszuführen. HP stellt ein Sicherheitsupdate für Apache Tomcat 6 in der Version C.6.0.45.01 für HP-UX B.11.31 zur Verfügung, um die Schwachstellen zu schließen. Patch: HP Security Bulletin HPSBUX03561 https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05054964

CVE-2016-0714: Schwachstelle in Apache Tomcat ermöglicht Ausführung
beliebigen Programmcodes

Die Funktionen ‘StandardManager’ und ‘PersistentManager’ zum Erhalt von
Sessions zum Zugriff auf Dateien, Datenbanken oder selbst konstruierte
Objekte können ausgenutzt werden, um einen Sicherheits-Manager (Security
Manager) zu umgehen. Ein entfernter, nicht authentifizierter Angreifer kann
ein speziell präpariertes Objekt in eine Session einfügen und über den
Programmcode zum Erhalt von Sessions beliebigen Programmcode ausführen.

CVE-2016-0706: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Falls ein Sicherheits-Manager (Security Manager) konfiguriert ist, kann das
interne ‘StatusManagerServlet’ durch verwaltete Web-Awendungen geladen
werden. Die Web-Anwendungen können daraus Informationen über verteilte
Anwendungen und eine Liste momentan prozessierter HTTP-Anfragen extrahieren.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
Web-Anwendung, die unter einem Sicherheits-Manager ausgeführt wird,
Informationen über andere Web-Anwendungen unterhalb des Sicherheits-Managers
ausspähen.

CVE-2015-5345: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Beim Zugriff auf ein geschütztes Verzeichnis mit einer URL, die nicht auf
einen Schrägstrich (Slash) endet, leitet Tomcat die Anfrage zunächst mit
angehängtem Schrägstrich weiter, bevor die Sicherheitsprüfung durchgeführt
wird. Ein entfernter, nicht authentifizierter Angreifer kann dadurch die
Existenz eines geschützten Verzeichnisses ermitteln.

CVE-2015-5174: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Beim Zugriff auf Ressourcen durch die Funktionen ‘ getResource()’,
‘getResourceAsStream()’ und ‘ getResourcePaths()’ aus ‘ServletContext’
werden bestimmte relative Pfadangaben als Parameter nicht zurückgewiesen.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
Web-Anwendung, die unter einem Sicherheits-Manager (Security Manager) läuft,
den Inhalt des Verzeichnisses, in dem die angegriffene Web-Anwendung
erstellt wurde, ermitteln.

CVE-2014-7810: Schwachstelle in Apache Tomcat erlaubt das Umgehen von
Sicherheitsvorkehrungen

Im Apache Tomcat besteht eine Schwachstelle in den Versionen 6.0.0 bis
6.0.43, 7.0.0 bis 7.0.57 und 8.0.0-RC1 bis 8.0.15. Eine schädliche Webseite
kann durch die Verwendung von ‘Expression Language’ (eine spezielle
Programmiersprache, um Expressions in Web-Anwendungen zu integrieren)
Sicherheitsvorkehrungen umgehen, da diese Expressions in einer
privilegierten Codesektion ausgeführt werden. Ein entfernter, nicht
authentisierter Angreifer kann, durch die Manipulation einer Webseite,
Sicherheitsvorkehrungen umgehen.

CVE-2014-0230: Schwachstelle in Apache Tomcat ermöglicht
Denial-of-Service-Angriff

Das Standardverhalten des Tomcat bei der Beantwortung von Anfragen mit einem
Textkörper (Request Body) sieht vor, dass nicht gelesene Teile des
Textkörpers verworfen werden, sobald eine Antwort an den Benutzer-Agenten
gesendet wurde, auch wenn der Textkörper nicht vollständig eingelesen wurde.
Anschließend ist der Tomcat zur Bearbeitung der nächsten Anfrage bereit.
Eine Schwachstelle vor Version 6.0.44 führt dazu, dass die Größe des
Textkörpers, der verworfen wird, keine Begrenzung hat. Dadurch wird die
entsprechende Verbindung nicht geschlossen und alle genutzten Ressourcen
bleiben an den Prozess der Verbindung gebunden.
Ein entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0537/

Schwachstelle CVE-2014-0230 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0230

Schwachstelle CVE-2014-7810 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7810

Schwachstelle CVE-2015-5174 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5174

Schwachstelle CVE-2015-5345 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5345

Schwachstelle CVE-2016-0706 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0706

Schwachstelle CVE-2016-0714 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0714

HP Security Bulletin HPSBUX03561:
https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05054964

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben