Suchen

Apache Tomcat Release 6.0.18 behebt Sicherheitslücken Open-Source-Umgebung für Java macht Webserver-Dateisystem anfällig

| Autor / Redakteur: Dirk Srocke / Stephan Augsten

Über Sicherheitslücken in Apache Tomcat konnten Angreifer Zugriff auf das Dateisystem von Webservern erlangen. Der Sicherheitsdienstleister US-CERT warnt bereits vor Exploits für die als CVE-2008-2938 geführte Schwachstelle. Die Entwickler haben bereits mit Updates für Java-Laufzeitumgebung reagiert und dabei weitere kritische Fehler behoben.

Firma zum Thema

Mit Release 6.0.18 sollte Apache Tomcat vertrauliche Daten wieder besser schützen.
Mit Release 6.0.18 sollte Apache Tomcat vertrauliche Daten wieder besser schützen.
( Archiv: Vogel Business Media )

Die Open-Source-Lösung Apache Tomcat ermöglicht nicht nur Administrationen das Ausführen von Java-Code auf Webservern. Über eine Schwachstelle können Angreifer die Software missbrauchen, um auf Verzeichnisse fremder Systeme zuzugreifen und Daten zu manipulieren. Die jetzt als CVE-2008-2938 bekannt gewordene Lücke besteht in den Versionen 4.1.0 bis 4.1.37, 5.5.0 bis 5.5.26 und 6.0.0 bis 6.0.16.

Bei der jetzt publizierten Lücke konnten Angreifer über manipulierte Anfrage Zugriff auf Dateien erhalten. Voraussetzung hierfür war der Kontext allowLinking=“true“ sowie ein mit URIEncodings=“UTF-8“ konfigurierter Connector.

Die Tomcat-Programmierer haben die als mittelschwer eingestufte Schwachstelle in ihren aktuellen Releases behoben. EIn Update lohnt: Laut US-CERT gibt es bereits erste Berichte über Exploits.

Zudem haben die Entwickler mit Version 6.0.18 weitere Fehler behoben, darunter die kritische Schwachstelle CVE-2008-2370. Das Problem ermöglichte Unberechtigten, auf normalerweise per Constraint geschützte Inhalte zuzugreifen.

Die kompletten Release-Notes finden sich auf den Projektseiten von Apache Tomcat. Von dort gelangt man auch zum Download aktuellen Programmcodes.

(ID:2014967)