Remote Code Execution: Apache-Tomcat-Entwickler schließen Sicherheitslücke
Eine Lücke in mehreren Apache-Tomcat-Versionen erlaubt Angreifern unter eher selten gegebenen Voraussetzungen die Schadcode-Ausführung aus der Ferne. Updates schaffen Abhilfe.
(Bild: pixabay.com / Bildausschnitt)
Mehrere Versionen des Open-Source-Webservers Apache Tomcat weisen eine Sicherheitslücke auf, die unter bestimmten Umständen das Ausführen von Schadcode aus der Ferne ermöglicht. Betroffen sind laut Entwicklerteam alle Tomcat-Versionen vor 7.0.82, 8.0.47, 8.5.23 und 9.0.1 (beta). Den Schweregrad der Bedrohung definierten sie als "wichtig" (Severity: Important).
Die Lücke mit der Kennung CVE-2017-12617 ermöglicht den Upload einer JavaServer-Page-Datei (JSP) sowie die Ausführung darin enthaltenen Codes auf einem sicherheitsanfälligen Server. Das funktioniert aber nur unter der Voraussetzung einer bestimmten, bereits bestehenden Servlet-Konfiguration, die nach Einschätzung des Sicherheitsforschers Peter Stöckli eher unüblich ist. Die Apache-Tomcat-Versionen 7.0.82, 8.0.47 und 8.5.23 und 9.0.1 beheben die Schwachstelle. (ovw)
