Updates fĂĽr Apache Tomcat
Neue Versionen von Apache Tomcat beseitigen eine Schwachstelle, mit der sich mittels manipulierter WebDAV-Requests die Inhalte beliebiger Dateien auf dem System anzeigen lassen.
Neue Versionen von Apache Tomcat beseitigen eine Schwachstelle, mit der sich die Inhalte beliebiger Dateien auf dem System anzeigen lassen. Laut Beschreibung der Apache Foundation liegt der Fehler im WebDAV-Servlet, wenn es für den Einsatz von Kontexten und Schreibzugriff konfiguriert wurde. Mit einem präparierten WebDAV-Schreib-Zugriff mit einem absoluten Pfad im SYSTEM-ENTITY-Tag lassen sich Dateien außerhalb des Wurzelverzeichnisses des Webservers aufrufen.
Ein Exploit ist bereits öffentlicht verfügbar. Betroffen sind 4.1.0 bis 4.1.SVN, 5.0.0 bis 5.0.SVN, 5.5.0 bis 5.5.25 und 6.0.0 bis 6.0.14. In Apache Tomcat 5.5.SVN und 6.0.SVN ist der Fehler behoben, für die Version 4.1.x gibt es kein Update.
Siehe dazu auch:
- Fixed in Apache Tomcat 6.0.SVN, Meldung der Apache Foundation
- Fixed in Apache Tomcat 5.5.SVN, Meldung der Apache Foundation
- Apache Tomcat WebDAV directory traversal, Fehlerbericht von ISS
(dab)
