Dasjenige Bundesamt z. Hd. Sicherheit in jener Informationstechnik (BSI) hat am 29.01.2025 ein Update zu einer am 22.11.2016 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen z. Hd. Apache Tomcat veröffentlicht. Betroffen von jener Sicherheitslücke sind die Betriebssysteme F5 Networks, Linux, UNIX und Windows sowie die Produkte Debian Linux, Red Hat Enterprise Linux, Ubuntu Linux, F5 BIG-IP, F5 ARX, SUSE Linux, Oracle Linux und Apache Tomcat.

Die neuesten Hersteller-Empfehlungen hinsichtlich Updates, Workarounds und Sicherheitspatches z. Hd. jene Sicherheitslücke finden Sie hier: Ubuntu Security Notice USN-7242-1 (Stand: 30.01.2025). Weitere nützliche Quellen werden weiter unten in diesem Geschlechtswort aufgeführt.

Mehrere Schwachstellen z. Hd. Apache Tomcat – Risiko: mittel

Risikostufe: 4 (mittel)
CVSS Cousine Score: 7,3
CVSS Zeitlich Score: 6,4
Remoteangriff: Ja

Zur Ordnung jener Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Stützpunkt verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Pro die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen z. Hd. vereinen Überfall (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen droben die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Die Gefährdung jener hier behandelten Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 7,3 wie „mittel“ eingeschätzt.

Apache Tomcat Softwarefehler: Zusammenfassung jener bekannten Schwachstellen

Apache Tomcat ist ein Web-Applikationsserver z. Hd. verschiedene Plattformen.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Apache Tomcat ausnutzen, um vereinen Denial of Tafelgeschirr Überfall durchzuführen, vertrauliche Informationen offenzulegen oder beliebigen Programmcode zur Explikation zu erwirtschaften.

Die Verwundbarkeit wird mit den eindeutigen CVE-Seriennummern (Common Vulnerabilities and Exposures) CVE-2016-6817, CVE-2016-6816 und CVE-2016-8735 gehandelt.

Von jener Sicherheitslücke betroffene Systeme im Übersicht

Betriebssysteme
F5 Networks, Linux, UNIX, Windows

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
F5 BIG-IP (cpe:/a:f5:big-ip)
F5 ARX (cpe:/a:f5:arx)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Apache Tomcat <6.0.48 (cpe:/a:apache:tomcat)
Apache Tomcat 6.0.48 (cpe:/a:apache:tomcat)
Apache Tomcat <7.0.73 (cpe:/a:apache:tomcat)
Apache Tomcat 7.0.73 (cpe:/a:apache:tomcat)
Apache Tomcat <8.0.39 (cpe:/a:apache:tomcat)
Apache Tomcat 8.0.39 (cpe:/a:apache:tomcat)
Apache Tomcat <9.0.0.M13 (cpe:/a:apache:tomcat)
Apache Tomcat 9.0.0.M13 (cpe:/a:apache:tomcat)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. Benützer jener betroffenen Systeme sollten jene uff dem aktuellsten Stand halten. Hersteller sind zusammen mit Bekanntwerden von Sicherheitslücken dazu angehalten, jene schnellstmöglich durch Entwicklungsverlauf eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie jene zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Stufe aufgeführten Quellen. Oftmals enthalten jene weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich zusammen mit weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen droben Softwarefehler-Reports, Security-Fixes und Workarounds.

Ubuntu Security Notice USN-7242-1 vom 2025-01-30 (29.01.2025)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7242-1

Ubuntu Security Notice USN-4557-1 vom 2020-09-30 (30.09.2020)
Weitere Informationen finden Sie unter: https://usn.ubuntu.com/4557-1/

SUSE Security Update SUSE-SU-2017:1660-1 vom 2017-06-24 (26.06.2017)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2017/suse-su-20171660-1.html

SUSE Security Update SUSE-SU-2017:1632-1 vom 2017-06-21 (21.06.2017)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/opensuse-security-announce/2017-06/msg00025.html

Oracle Linux Security Advisory ELSA-2017-0935 vom 2017-04-13 (12.04.2017)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2017-0935.html

Red Hat Security Advisory RHSA-2017:0935 vom 2017-04-12 (12.04.2017)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2017:0935

Exploit-DB #41783 vom 2017-04-03 (03.04.2017)
Weitere Informationen finden Sie unter: https://www.exploit-db.com/exploits/41783/

Oracle Linux Security Advisory ELSA-2017-0527 vom 2017-03-15 (15.03.2017)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2017-0527.html

Red Hat Security Advisory RHSA-2017:0527 vom 2017-03-15 (15.03.2017)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2017:0527

F5 Security Advisory K50116122 vom 2017-02-27 (28.02.2017)
Weitere Informationen finden Sie unter: https://support.f5.com/csp/article/K50116122

Red Hat Security Advisory RHSA-2017:0245 vom 2017-02-03 (02.02.2017)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2017:0245

Red Hat Security Advisory RHSA-2017:0250 vom 2017-02-03 (02.02.2017)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2017:0250

Ubuntu Security Notice USN-3177-2 vom 2017-02-02 (02.02.2017)
Weitere Informationen finden Sie unter: http://www.ubuntu.com/usn/usn-3177-2/

Ubuntu Security Notice USN-3177-1 vom 2017-01-23 (23.01.2017)
Weitere Informationen finden Sie unter: http://www.ubuntu.com/usn/usn-3177-1/

Debian Security Advisory DSA-3738 vom 2016-12-18 (18.12.2016)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2016/dsa-3738

Debian Security Advisory DSA-3739 vom 2016-12-18 (18.12.2016)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2016/dsa-3739

SUSE Security Update SUSE-SU-2016:3081-1 vom 2016-12-11 (11.12.2016)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2016/suse-su-20163081-1.html

SUSE Security Update SUSE-SU-2016:3079-1 vom 2016-12-11 (11.12.2016)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2016/suse-su-20163079-1.html

F5 Security Advisory SOL49160100 vom 2016-12-02 (04.12.2016)
Weitere Informationen finden Sie unter: https://support.f5.com/kb/en-us/solutions/public/k/49/sol49160100.html

F5 Security Advisory SOL49820145 vom 2016-12-02 (01.12.2016)
Weitere Informationen finden Sie unter: https://support.f5.com/kb/en-us/solutions/public/k/49/sol49820145.html

F5 Security Advisory SOL50116122 vom 2016-12-02 (01.12.2016)
Weitere Informationen finden Sie unter: https://support.f5.com/kb/en-us/solutions/public/k/50/sol50116122.html

Apache Tomcat 6.0.48 vom 2016-11-22 (22.11.2016)
Weitere Informationen finden Sie unter: http://tomcat.apache.org/security-6.html#Fixed_in_Apache_Tomcat_6.0.48

Apache Tomcat 7.0.73 vom 2016-11-22 (22.11.2016)
Weitere Informationen finden Sie unter: http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.73

Apache Tomcat 8.0.39 vom 2016-11-22 (22.11.2016)
Weitere Informationen finden Sie unter: http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.0.39

Apache Tomcat 9.0.0.M13 vom 2016-11-22 (22.11.2016)
Weitere Informationen finden Sie unter: http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.0.M13

Openwall OSS-Security vom 2016-11-22 (22.11.2016)
Weitere Informationen finden Sie unter: http://seclists.org/oss-sec/2016/q4/503

Openwall OSS-Security vom 2016-11-22 (22.11.2016)
Weitere Informationen finden Sie unter: http://seclists.org/oss-sec/2016/q4/502

Openwall OSS-Security vom 2016-11-22 (22.11.2016)
Weitere Informationen finden Sie unter: http://seclists.org/oss-sec/2016/q4/501

Versionshistorie dieses Sicherheitshinweises

Dies ist die 22. Version des vorliegenden IT-Sicherheitshinweises z. Hd. Apache Tomcat. Im Rahmen Kundgabe weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie mithilfe jener folgenden Versionshistorie reproduzieren.

22.11.2016 – Initial Release
22.11.2016 – Version nicht vorhanden
01.12.2016 – New remediations available
01.12.2016 – Version nicht vorhanden
01.12.2016 – Version nicht vorhanden
04.12.2016 – New remediations available
11.12.2016 – New remediations available
11.12.2016 – Version nicht vorhanden
18.12.2016 – New remediations available
23.01.2017 – New remediations available
02.02.2017 – New remediations available
28.02.2017 – New remediations available
15.03.2017 – New remediations available
20.03.2017 – Added references
12.04.2017 – New remediations available
17.04.2017 – Added references
20.06.2017 – New remediations available
20.06.2017 – Version nicht vorhanden
20.06.2017 – Version nicht vorhanden
26.06.2017 – New remediations available
30.09.2020 – Neue Updates von Ubuntu aufgenommen
29.01.2025 – Neue Updates von Ubuntu aufgenommen

+++ Redaktioneller Index: Dieser Text wurde uff Stützpunkt aktueller BSI-Datenansammlung generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hören Sie News.de schon zusammen mit Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Litze zur Redaktion.
kns/roj/news.de