Patches für Apache Tomcat

Die Apache-Tomcat-Entwickler haben Patches für ihre Implementierung für Java Servlets und Java Server Pages vorgelegt, um drei Schwachstellen zu beseitigen. Beim Empfang von Paketen mit manipulierten Headern schließt Tomcat unter Umständen den AJP-Konnektor ohne Fehlermeldung, was sich insbesondere in Load-Balancing-Umgebungen für DoS-Angriffe ausnutzen lassen soll.

Darüber hinaus lässt sich in bestimmten Fällen durch die Übertragung von Passwörtern mit ungültigen Encodings in der URL herausfinden, ob der angegebene Nutzername gültig ist. Angreifer könnten dies zur Vorbereitung weiterer Attacken ausnutzen. Des Weiteren enthält die Kalenderanwendung in den Beispielen eine Cross-Site-Scripting-Lücke.

Betroffen sind laut Bericht Tomcat 6.0.0 bis 6.0.18, Tomcat 5.5.0 bis 5.5.27 sowie Tomcat 4.1.0 bis 4.1.39. In der Version 6.0.20 sind die Fehler behoben. In den kommenden Versionen 5.5.28 und 4.1.40 sollen die Fehler ebenfalls behoben sein, ein Termin steht jedoch noch nicht fest. Alternativ stehen Patches zum Download bereit.

Siehe dazu auch:

• Apache Tomcat User enumeration vulnerability with FORM authentication
• Apache Tomcat DoS when using Java AJP connector

(dab)