Apache Tomcat: Wichtige Updates schließen Sicherheitslücken
Neue Versionen der 7er-, 8er- und 9er-Reihe des Anwendungsservers Apache Tomcat bringen unter anderem zwei dringliche Security-Fixes mit.
![Jetzt patchen: teils kritische Lücken in mehreren Versionen von Apache Tomacat](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/4/7/1/2/3/8/1000px-Tomcat-logo-326eb42592ee5652.png)
(Bild: The Apache Software Foundation)
Die Apache Software Foundation hat Updates für mehrere Versionen des Open-Source-Webservers und Webcontainers Apache Tomcat veröffentlicht. Laut einem Sicherheitshinweis des US-CERT schließen sie unter anderem zwei Lücken, deren Schweregrad die Apache-Entwickler als "Important" einstufen.
Details zu denkbaren Angriffsszenarien wurden per Mailing-Liste veröffentlicht. Demnach fußt eine der Lücken (CVE-2018-1336) auf einem Fehler im UTF-8-Decoder, der das Auslösen eines Dauer-Loops des Programms nebst anschließender Durchführung eines Denial-of-Service-Angriffs ermöglicht. Über die zweite (CVE-2018-8037) kann ein Angreifer unter bestimmten Voraussetzungen auf vertrauliche Daten zugreifen, indem er eine alte User-Session im Kontext einer neuen Verbindung nutzt.
Betroffen sind mehrere Versionen aus der 7er-, 8er- und 9er-Reihe von Tomcat. Weitere Details sowie Hinweise zu den jeweils erforderlichen Updates sind Apaches Rundmails zu CVE-2018-1336 beziehungsweise zu CVE-2018-8037 zu entnehmen. (ovw)