Apache Tomcat: Denial-of-Service-Angriffe auf ältere Versionen möglich
Zugunsten aktueller Lücken-Fixes sollten Tomcat-Nutzer, sofern noch nicht geschehen, auf die aktuellste Ausgabe der genutzten Versionsreihe upgraden.
Einige Versionen von Apache Tomcat, einem Webserver beziehungsweise -container für in Java geschriebene Webanwendungen, sind über zwei Sicherheitslücken angreifbar. Von einer Lücke (CVE-2020-13934) geht ein hohes Sicherheitsrisiko aus (CVE-2020-13935, Einstufung "important"); die andere wurde als "moderate" bewertet. Unter bestimmten Voraussetzungen ist es in beiden Fällen möglich, einen Denial-of-Service-Zustand zu provozieren.
Betroffene und abgesicherte Versionen
Das Apache-Team empfiehlt, die installierte Version zu überprüfen und diese, sofern noch nicht geschehen, zu aktualisieren. Angreifbar sind die Tomcat-Versionen
- Apache Tomcat 10.0.0-M1 bis einschließlich 10.0.0-M6
- Apache Tomcat 9.0.0.M5 bis einschließlich 9.0.36 und
- Apache Tomcat 8.5.1 bis 8.5.56 inklusive.
Von CVE-2020-13935 sind zusätzlich auch die 7er-Versionen 7.0.27 bis einschließlich 7.0.104 betroffen.
Weitere Informationen zu den beiden Lücken sind den "Fixed"-Abschnitten zu den abgesicherten Versionen 7.0.105, 8.5.57, 9.0.37 und 10.0.0-M7 auf der Apache-Tomcat-Website zu entnehmen:
- Fixed in Apache Tomcat 7.0.105
- Fixed in Apache Tomcat 8.5.57
- Fixed in Apache Tomcat 9.0.37
- Fixed in Apache Tomcat 10.0.0-M7
(ovw)