UPDATE: DFN-CERT-2015-0165 Apache Tomcat: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][RedHat][Unix][Windows][Netzwerk]

UPDATE: DFN-CERT-2015-0165 Apache Tomcat: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][RedHat][Unix][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (13.05.2015):
Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop,
HPC Node, Server und Workstation sowie für Red Hat Enterprise Linux Server
EUS v. 6.6.z Sicherheitsupdates bereit.
Version 2 (10.04.2015):
F5 Networks informiert über die Betroffenheit sämtlicher BIG-IP PSM
Versionen sowie weiterer BIG-IP Produkte.
Version 1 (09.02.2015):
Neues Advisory

Betroffene Software:

Apache Software Foundation Tomcat <= 6.0.41 Apache Software Foundation Tomcat <= 7.0.54 Apache Software Foundation Tomcat <= 8.0.8 Betroffene Plattformen: Apache Software Foundation Tomcat F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.6.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Eine Schwachstelle in Tomcat ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen. Patch: Apache Hersteller-Advisory 8.0.9 https://tomcat.apache.org/security-8.html

Patch:

Apache Hersteller-Advisory 7.0.55

http://tomcat.apache.org/security-7.html

Patch:

Red Hat Security Advisory RHSA-2015:0983

http://rhn.redhat.com/errata/RHSA-2015-0983.html

Patch:

Red Hat Security Advisory RHSA-2015:0991

http://rhn.redhat.com/errata/RHSA-2015-0991.html

CVE-2014-0227: Schwachstelle in Chunked Transfer Encoding ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in dem ‘Chunked Transfer Encoding’ von Tomcat führt dazu,
dass bei der Verarbeitung einer präparierten Chunk-Anfrage Teile des
Anfrage-Hauptteil als eine neue Anfrage aufgefasst werden. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0165/

Apache Hersteller-Advisory 6.0.43:
http://tomcat.apache.org/security-6.html

Apache Hersteller-Advisory 8.0.9:
https://tomcat.apache.org/security-8.html

Apache Hersteller-Advisory 7.0.55:
http://tomcat.apache.org/security-7.html

Schwachstelle CVE-2014-0227 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0227

F5 Networks Security Advisory sol16344:
http://support.f5.com/kb/en-us/solutions/public/16000/300/sol16344.html?ref=rss

Red Hat Security Advisory RHSA-2015:0983:
http://rhn.redhat.com/errata/RHSA-2015-0983.html

Red Hat Security Advisory RHSA-2015:0991:
http://rhn.redhat.com/errata/RHSA-2015-0991.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben