Apache Tomcat verrät Verzeichnisinhalte
Durch Angabe eines Semikolons vor einer gemappten Dateierweiterung lässt sich der Apache Tomcat austricksen, um sich die Inhalte eines Verzeichnisses anzeigen zu lassen.
Directory-Listings auf Webserver gefährden zwar nicht unmittelbar die Systemsicherheit. Ein Angreifer kann so aber weitere Informationen über die Struktur eines Servers sammeln und eventuell ein verwundbares Skript oder interessante Daten finden. Deshalb ist auf den meisten Servern das Listing eines Verzeichnisses bei fehlender Angabe etwa von index.html nicht möglich. Durch Angabe eines Semikolons vor einer gemappten Dateierweiterung lässt sich aber beispielsweise Apache Tomcat austricksen, um sich trotzdem die Inhalte eines Verzeichnisses anzeigen zu lassen: http://www.blahfahsel.de/;index.jsp.
Der Fehler wurde laut eines Postings auf der Sicherheitmailingliste Full Disclosure für die Versionen 5.0.28, 5.5.7, 5.5.9 und 5.5.12 bestätigt. Andere Versionen bis 5.5.16 sind wahrscheinlich ebenfalls verwundbar. Die Schwachstelle ist in 5.5.17 beseitigt. Apache Tomcat ist der Java-Servlet-Container, der in der offiziellen Referenzimplementierung für Java Servlet und JavaServer Pages eingesetzt wird.
Siehe dazu auch: (dab)
- Directory Listing in Apache Tomcat 5.x.x, Fehlermeldung von ScanAlert's Enterprise
