US-CERT warnt vor Lücke in Tomcat
Grade bei Heise Security gefunden:
Das US-CERT warnt vor einem Directory-Traversal-Problem in Apache Tomcat 6, das den Zugriff auf beliebige Dateien des Servers erlaubt. Die Updates der Apache-Foundation beseitigen gleich noch weitere Schwachstellen.
Apache Tomcat ist die Implementierung des Apache-Projekts für Java Servlets und Java Server Pages. Die kürzlich veröffentlichte Version 6.0.18 beseitigt eine Reihe von Sicherheitslücken, darunter neben zwei XSS-Lücken und einem allgemeinen “Information Disclosure”-Problem auch den vom US-CERT angesprochenen Zugriff über Verzeichnisgrenzen hinweg.
Die Entwickler erklären, dass das Problem nur auftritt, wenn ein Kontext allowLinking=”true” gesetzt und der zugehörige Connector auf URIEncoding=”UTF-8″ eingestellt ist. Das Problem betrifft neben den 6er-Versionen bis einschließlich 6.0.16 auch Tomcat 4.1.0-4.1.37 und 5.5.0-5.5.26; die jeweils aktuelle Version behebt den Fehler. Laut US-CERT existiert öffentlich verfügbarer Exploit-Code, der die Lücke ausnutzt.
Interessante Beiträge zu diesem Thema
- Einführung in .htaccess
- Default Password List – Liste der Standardkennwörter für Router und co.
- Capra – Reports aus Watchguard Firebox Logs erstellen
- sparseimage – Bereiche beim Mac mit Boardmitteln verschlüsseln
- SSH Key Authentication
[...] US-CERT warnt vor Lücke in Tomcat [...]