DFN-CERT-2016-1059 Apache Software Foundation Tomcat: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Debian]

DFN-CERT-2016-1059 Apache Software Foundation Tomcat: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Tomcat <= 8.0.35 Betroffene Plattformen: Debian Linux 8.4 Jessie Mehrere Schwachstellen in Apache Tomcat ermöglichen einem entfernten, nicht authentifizierten Angreifer mit Hilfe einer Web-Anwendung das Ausführen beliebigen Programmcodes, die Manipulation von Dateien, einen Denial-of-Service-Angriff, einen Cross-Site-Request-Forgery-Angriff, das Erlangen von Benutzerrechten sowie das Ausspähen von Informationen. Für die die Distribution Debian Jessie (stable) steht ein Backport-Sicherheitsupdate zur Verfügung. Patch: Debian Security Advisory DSA-3609-1 https://www.debian.org/security/2016/dsa-3609

CVE-2016-3092: Schwachstelle in Apache Tomcat ermöglicht
Denial-of-Service-Angriff

In der Apache Commons FileUpload-Komponente von Apache Tomcat existiert eine
Denial-of-Service (DoS)-Schwachstelle. Wenn die ‘Multipart Boundaries’ von
Dateien nur knapp unterhalb der Größe des Puffers (4096 Byte) sind, der
verwendet wird, um hochgeladene Dateien zu lesen, benötigt der
FileUpload-Prozess mehrere Größenordnungen mehr Zeit, als bei den üblichen
10 Bytes. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, indem er wiederholt entsprechende
FileUpload-Requests sendet und damit einen Denial-of-Service (DoS)-Zustand
verursachen.

CVE-2016-0763: Schwachstelle in Apache Tomcat ermöglicht Manipulation von
Dateien

Web-Anwendungen haben Zugriff auf die öffentliche (public) Funktion
‘ResourceLinkFactory.setGlobalContext()’, auch wenn diese unter einem
Sicherheits-Manager (Security Manager) läuft. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer Web-Anwendung eine globalen
Webseite (global context) erstellen und in der Folge den Zugriff auf andere
Web-Anwendungen einschränken und Dateien im Kontext dieser Anwendungen
manipulieren.

CVE-2016-0714: Schwachstelle in Apache Tomcat ermöglicht Ausführung
beliebigen Programmcodes

Die Funktionen ‘StandardManager’ und ‘PersistentManager’ zum Erhalt von
Sessions zum Zugriff auf Dateien, Datenbanken oder selbst konstruierte
Objekte können ausgenutzt werden, um einen Sicherheits-Manager (Security
Manager) zu umgehen. Ein entfernter, nicht authentifizierter Angreifer kann
ein speziell präpariertes Objekt in eine Session einfügen und über den
Programmcode zum Erhalt von Sessions beliebigen Programmcode ausführen.

CVE-2016-0706: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Falls ein Sicherheits-Manager (Security Manager) konfiguriert ist, kann das
interne ‘StatusManagerServlet’ durch verwaltete Web-Awendungen geladen
werden. Die Web-Anwendungen können daraus Informationen über verteilte
Anwendungen und eine Liste momentan prozessierter HTTP-Anfragen extrahieren.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
Web-Anwendung, die unter einem Sicherheits-Manager ausgeführt wird,
Informationen über andere Web-Anwendungen unterhalb des Sicherheits-Managers
ausspähen.

CVE-2015-5351: Schwachstelle in Apache Tomcat ermöglicht
Cross-Site-Request-Forgery-Angriff

Die Indexseiten zu den Manager- und Host-Manager-Anwendungen beinhalten ein
gültiges Cross-Site-Request-Token (CSRF-Token), da eine neue Session
generiert wird, wenn die Anwendungen als Antwort auf einen
unauthentifizierten Zugriff auf das Wurzelverzeichnis der Webseite eine
Umleitung auslösen. Ein entfernter, nicht authentifizierter Angreifer mit
Zugriff auf die Manager- oder Host-Manager-Anwendung kann mit Hilfe des
CSRF-Tokens einen CSRF-Angriff konstruieren.

CVE-2015-5346: Schwachstelle in Apache Tomcat ermöglicht Erlangen von
Benutzerrechten

Bei der erneuten Verwendung (Recycling) von Request-Objekten für einen neue
Anfrage wird das Feld ‘requestedSessionSSL’ nicht recycled. Ein entfernter,
nicht authentifizierter Angreifer kann den Session-Identifizierer
kontrollieren und dadurch die Rechte eines angemeldeten Benutzers während
der parallelen Verteilung (Deployment) einer Webseite erlangen.

CVE-2015-5345: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Beim Zugriff auf ein geschütztes Verzeichnis mit einer URL, die nicht auf
einen Schrägstrich (Slash) endet, leitet Tomcat die Anfrage zunächst mit
angehängtem Schrägstrich weiter, bevor die Sicherheitsprüfung durchgeführt
wird. Ein entfernter, nicht authentifizierter Angreifer kann dadurch die
Existenz eines geschützten Verzeichnisses ermitteln.

CVE-2015-5174: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Beim Zugriff auf Ressourcen durch die Funktionen ‘ getResource()’,
‘getResourceAsStream()’ und ‘ getResourcePaths()’ aus ‘ServletContext’
werden bestimmte relative Pfadangaben als Parameter nicht zurückgewiesen.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
Web-Anwendung, die unter einem Sicherheits-Manager (Security Manager) läuft,
den Inhalt des Verzeichnisses, in dem die angegriffene Web-Anwendung
erstellt wurde, ermitteln.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1059/

Schwachstelle CVE-2015-5174 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5174

Schwachstelle CVE-2015-5345 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5345

Schwachstelle CVE-2015-5346 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5346

Schwachstelle CVE-2015-5351 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5351

Schwachstelle CVE-2016-0706 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0706

Schwachstelle CVE-2016-0714 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0714

Schwachstelle CVE-2016-0763 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0763

Schwachstelle CVE-2016-3092 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3092

Debian Security Advisory DSA-3609-1:
https://www.debian.org/security/2016/dsa-3609

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben