US-CERT warnt vor Lücke in Tomcat
Ein Directory-Traversal-Problem in Apache Tomcat erlaubt den Zugriff auf Dateien des Servers.
Das US-CERT warnt vor einem Directory-Traversal-Problem in Apache Tomcat 6, das den Zugriff auf beliebige Dateien des Servers erlaubt. Die Updates der Apache-Foundation beseitigen gleich noch weitere Schwachstellen.
Apache Tomcat ist die Implementierung des Apache-Projekts für Java Servlets und Java Server Pages. Die kürzlich veröffentlichte Version 6.0.18 beseitigt eine Reihe von Sicherheitslücken, darunter neben zwei XSS-Lücken und einem allgemeinen "Information Disclosure"-Problem auch den vom US-CERT angesprochenen Zugriff über Verzeichnisgrenzen hinweg.
Die Entwickler erklären, dass das Problem nur auftritt, wenn ein Kontext allowLinking="true" gesetzt und der zugehörige Connector auf URIEncoding="UTF-8" eingestellt ist. Das Problem betrifft neben den 6er-Versionen bis einschließlich 6.0.16 auch Tomcat 4.1.0-4.1.37 und 5.5.0-5.5.26; die jeweils aktuelle Version behebt den Fehler. Laut US-CERT existiert öffentlich verfügbarer Exploit-Code, der die Lücke ausnutzt.
Siehe dazu auch:
- Apache Tomcat UTF8 Directory Traversal Vulnerability, Sicherheitsnotiz des US-CERT
- Apache Tomcat 6.x Security Vulnerabilitites, Übersicht von Apache
(ju)