Apache Tomcat: Wichtige Updates schließen Sicherheitslücken

Die Apache Software Foundation hat Updates für mehrere Versionen des Open-Source-Webservers und Webcontainers Apache Tomcat veröffentlicht. Laut einem Sicherheitshinweis des US-CERT schließen sie unter anderem zwei Lücken, deren Schweregrad die Apache-Entwickler als "Important" einstufen.

Details zu denkbaren Angriffsszenarien wurden per Mailing-Liste veröffentlicht. Demnach fußt eine der Lücken (CVE-2018-1336) auf einem Fehler im UTF-8-Decoder, der das Auslösen eines Dauer-Loops des Programms nebst anschließender Durchführung eines Denial-of-Service-Angriffs ermöglicht. Über die zweite (CVE-2018-8037) kann ein Angreifer unter bestimmten Voraussetzungen auf vertrauliche Daten zugreifen, indem er eine alte User-Session im Kontext einer neuen Verbindung nutzt.

Betroffen sind mehrere Versionen aus der 7er-, 8er- und 9er-Reihe von Tomcat. Weitere Details sowie Hinweise zu den jeweils erforderlichen Updates sind Apaches Rundmails zu CVE-2018-1336 beziehungsweise zu CVE-2018-8037 zu entnehmen. (ovw)