UPDATE: DFN-CERT-2017-0624 Apache Tomcat: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen und einen Denial-of-Service-Angriff [Linux][Debian][Fedora][Apple][Windows]

UPDATE: DFN-CERT-2017-0624 Apache Tomcat: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen und einen Denial-of-Service-Angriff [Linux][Debian][Fedora][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (03.05.2017):
Debian stellt zur Behebung der Schwachstellen CVE-2017-5647 und
CVE-2017-5648 Backport-Sicherheitsupdates für ‘tomcat7’ und ‘tomcat8’
bereit. Die Sicherheitsupdates stehen für Debian Jessie und Debian Stretch
zur Verfügung.
Version 3 (18.04.2017):
Für Fedora 24, 25 und 26 steht zur Behebung dieser Schwachstellen Apache
Tomcat in der Version 8.0.43 als Sicherheitsupdate im Status ‘testing’
befindet.
Version 2 (12.04.2017):
Die Apache Software Foundation hat Version 7.0.77 als Sicherheitsupdate
zur Behebung der Schwachstelle CVE-2017-5647 bereitgestellt. Die
Schwachstelle CVE-2017-5648 wurde bereits mit Version 7.0.76 behoben. Für
Fedora EPEL 6 steht zur Behebung der Schwachstellen CVE-2017-5647 und
CVE-2017-5648 Apache Tomcat in der Version 7.0.77 als Sicherheitsupdate
bereit, welches sich derzeit noch im Status ‘pending’ befindet.
Version 1 (11.04.2017):
Neues Advisory

Betroffene Software:

Apache Software Foundation Tomcat < 6.0.53 Apache Software Foundation Tomcat < 7.0.77 Apache Software Foundation Tomcat < 8.0.43 Apache Software Foundation Tomcat < 8.5.13 Apache Software Foundation Tomcat < 9.0.0.M19 Betroffene Plattformen: Apple Mac OS X Debian Linux 8.7 Jessie Debian Linux 9.0 Stretch GNU/Linux Microsoft Windows Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Extra Packages for Red Hat Enterprise Linux 6 Mehrere Schwachstellen in Apache Tomcat 6.0.0 bis 6.0.52, 8.0.0.RC1 bis 8.0.42, 8.5.0 bis 8.5.12 und 9.0.0.M1 bis 9.0.0.M18 ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen sowie die Durchführung eines Denial-of-Service (DoS)-Angriffs. Die Apache Software Foundation veröffentlicht Informationen zu diesen Schwachstellen. Als Sicherheitsupdates stehen die Versionen 6.0.53, 8.0.43, 8.5.13 und 9.0.0.M19 zur Verfügung. Die Schwachstelle CVE-2017-5648 betrifft nur Versionen 8.x und 9.x, wurde aber bereits mit den Versionen 8.0.42, 8.5.12 und 9.0.0.M18 behoben. Die Schwachstellen CVE-2017-5650 und CVE-2017-5651 betreffen nur die Versionszweige 8.5.x und 9.0.x und werden mit den aktuellen Sicherheitsupdates behoben. Patch: Apache Security Advisory: Apache Tomcat 6.x Vulnerabilities fixed in Apache Tomcat 6.0.53 https://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.53

Patch:

Apache Security Advisory: Apache Tomcat 8.x Vulnerabilities fixed in Apache
Tomcat 8.0.43

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.43

Patch:

Apache Security Advisory: Apache Tomcat 8.x Vulnerabilities fixed in Apache
Tomcat 8.5.13

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.13

Patch:

Apache Security Advisory: Apache Tomcat 9.x Vulnerabilities fixed in Apache
Tomcat 9.0.0.M19

https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M19

Patch:

Apache Security Advisory: Apache Tomcat 7.x Vulnerabilities fixed in Apache
Tomcat 7.0.77

https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.77

Patch:

Fedora Security Update FEDORA-EPEL-2017-fb8532fb2d (Fedora EPEL 6,
tomcat-7.0.77-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-fb8532fb2d

Patch:

Fedora Security Update FEDORA-2017-0e64c4c186 (Fedora 26,
tomcat-8.0.43-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-0e64c4c186

Patch:

Fedora Security Update FEDORA-2017-5261ba4605 (Fedora 25,
tomcat-8.0.43-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-5261ba4605

Patch:

Fedora Security Update FEDORA-2017-d5aa7c77d6 (Fedora 24,
tomcat-8.0.43-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-d5aa7c77d6

Patch:

Debian Security Advisory DSA-3842-1 (tomcat7)

https://www.debian.org/security/2017/dsa-3842

Patch:

Debian Security Advisory DSA-3843-1 (tomcat8)

https://www.debian.org/security/2017/dsa-3843

CVE-2017-5651: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Mit der Umgestaltung des ‘Connector’-Programmcodes ab der Apache Tomcat
Programmversion 8.5.x wurde eine Regression in der ‘Send File’-Verarbeitung
eingeführt. Wenn die Verarbeitung durch ‘Send File’ schnell abgeschlossen
wird, kann ein Prozess von mehreren konkurrierenden Anfragen verwendet
werden, wodurch es zu unerwarteten Fehlern kommen kann und/oder Antworten
vermischt werden. Dadurch können unbeabsichtigt sensitive Informationen
offengelegt werden. Ein entfernter, nicht authentisierter Angreifer kann
diese Informationen durch einen erfolgreichen Angriff ausspähen.

CVE-2017-5650: Schwachstelle in Apache Tomcat ermöglicht
Denial-of-Service-Angriff

Bei der Behandlung eines HTTP/2 GOAWAY-Rahmens (Frames) für eine Verbindung
werden ab Apache Tomcat Programmversion 8.5.x Datenströme (Streams), die zu
dieser Verbindung gehören und gerade auf ein ‘WINDOW_UPDATE’ warten,
geschlossen, ohne der Anwendung das Schreiben weiterer Daten zu erlauben.
Diese wartenden Streams verbrauchen jeder einen Thread. Ein bösartiger
Client kann durch eine Serie von HTTP/2-Anfragen (Requests) alle verfügbaren
Prozess-Threads verbrauchen. Ein entfernter, nicht authentisierter Angreifer
kann diese Schwachstelle für einen Denial-of-Service (DoS)-Angriff
ausnutzen.

CVE-2017-5648: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Einige Aufrufe von Anwendungslauschern (Application Listeners) verwenden
nicht das geeignete Fassadenobjekt (Facade Object). Dadurch ist es bei
Ausführung einer nicht vertrauenswürdigen Anwendung unter einem
SecurityManager dieser Anwendung möglich, eine Referenz auf das
Anfrageobjekt (Request Object) oder das Antwortobjekt (Response Object) zu
behalten und dadurch auf Informationen, die zu einer anderen Webanwendung
gehören, zuzugreifen und diese zu verändern. Ein entfernter, nicht
authentisierter Angreifer kann durch einen erfolgreichen Angriff sensitive
Informationen ausspähen und manipulieren.

CVE-2017-5647: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Bei der Behandlung von zur Verarbeitung vorbereiteten Anfragen (Pipelined
Requests) existiert eine Schwachstelle, durch welche die vorbereitete
Anfrage verloren geht, sobald die Verarbeitung der vorherigen Anfrage durch
‘Send File’ abgeschlossen ist. Dadurch kann es vorkommen, dass Antworten
(Responses) auf die falsche Anfrage zurückgesendet erscheinen. Sendet ein
Benutzeragent beispielsweise die Anfragen A, B und C, sieht er in diesem
Fall die korrekte Antwort auf die Anfrage A, aber die Antwort auf die
Anfrage C erscheint als Antwort für die Anfrage B und es erfolgt keine
Antwort auf Anfrage C. Dadurch können unbeabsichtigt sensitive Informationen
offengelegt werden. Ein entfernter, nicht authentisierter Angreifer kann
diese Informationen durch einen erfolgreichen Angriff ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0624/

Apache Security Advisory: Apache Tomcat 6.x Vulnerabilities fixed in Apache
Tomcat 6.0.53:
https://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.53

Apache Security Advisory: Apache Tomcat 8.x Vulnerabilities fixed in Apache
Tomcat 8.0.43:
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.43

Apache Security Advisory: Apache Tomcat 8.x Vulnerabilities fixed in Apache
Tomcat 8.5.13:
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.13

Apache Security Advisory: Apache Tomcat 9.x Vulnerabilities fixed in Apache
Tomcat 9.0.0.M19:
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M19

Schwachstelle CVE-2017-5647 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5647

Schwachstelle CVE-2017-5648 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5648

Schwachstelle CVE-2017-5650 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5650

Schwachstelle CVE-2017-5651 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5651

Apache Security Advisory: Apache Tomcat 7.x Vulnerabilities fixed in Apache
Tomcat 7.0.77:
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.77

Fedora Security Update FEDORA-EPEL-2017-fb8532fb2d (Fedora EPEL 6,
tomcat-7.0.77-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-fb8532fb2d

Fedora Security Update FEDORA-2017-0e64c4c186 (Fedora 26,
tomcat-8.0.43-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0e64c4c186

Fedora Security Update FEDORA-2017-5261ba4605 (Fedora 25,
tomcat-8.0.43-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-5261ba4605

Fedora Security Update FEDORA-2017-d5aa7c77d6 (Fedora 24,
tomcat-8.0.43-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d5aa7c77d6

Debian Security Advisory DSA-3842-1 (tomcat7):
https://www.debian.org/security/2017/dsa-3842

Debian Security Advisory DSA-3843-1 (tomcat8):
https://www.debian.org/security/2017/dsa-3843

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben