Sårbarheter i Apache Tomcat

Publisert: 30.07.2018

Det er sluppet sikkerhetsoppdateringer for tre sårbarheter i Apache Tomcat [1].

De to første oppdateringene er vurdert som viktige, hvor den ene sårbarheten tilhørende oppdateringene muliggjør gjenbruk av brukersesjoner, mens den andre gjør at et offer kan bli utsatt for tjenestenekt gjennom overflyt i UTF-8 dekoderen [2][3]. Den tredje oppdatering er vurdert som lav. Sårbarheten gjaldt
at verifiseringen av hostnavn ved bruk av TLS med WebSocket-klienter manglet [4] (CVE-2018-8034). Det er nå satt default til at verifiseringen inkluderes i de nye sikkerhetsoppdateringene.

Videre følger beskrivelse av de to sårbarhetene hvor oppdatering er viktig.

Overtakelse av brukersesjoner: En feil i lukkingen av tilkoblinger til/fra Apache-serveren kan tilatte gjenbruk av brukersesjoner i en ny sesjon. Sårbarheten kan føre til "lekkasje" av informasjon, da man som ny bruker kan ha samme tilganger eller jobber som forrige bruker hadde eller kjørte. Sårbarheten har fått 9.1 i CSS score og er
tildelt CVE-2018-8037 [1].

Berørte versjoner:

  • Apache Tomcat 9.0.0.M9 til 9.0.9
  • Apache Tomcat 8.5.5 til 8.5.31

Sårbarheten er allerede fjernet i Apache Tomcat versjon 9.0.10 og 8.5.32.

Tjenestenektangrep ved overflyt: Den andre sårbarheten oppstår gjennom feilaktig håndtering av overflyt i UTF-8 dekoderen når det benyttes "tilleggskarakterer". Dette kan føre til en uendelig loop og dermed ufrivillig tjenestenekt av dekoderen. Sårbarheten har fått CVSS score på 7.5 og er tildelt CVE-2018-1336 [2].

Berørte versjoner:

  • Apache Tomcat 9.0.0.M9 til 9.0.9
  • Apache Tomcat 8.5.0 til 8.5.30
  • Apache Tomcat 8.0.0.RC! til 8.0.51
  • Apache Tomcat 7.0.28 til 7.0.86

Vi anbefaler alle virksomheter å oppdatere sine servere til siste versjon så snart det lar seg gjøre.

Vi er per nå ikke kjent med aktiv utnyttelse av disse sårbarhetene. Apache Tomcat har heller ikke observert dette på nåværende tidspunkt. 

Kilder:

  1. http://tomcat.apache.org/security-9.html
  2. https://mail-archives.us.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090623.GA92700%40minotaur.apache.org%3E
  3. https://mail-archives.us.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090435.GA60759%40minotaur.apache.org%3E
  4. https://mail-archives.us.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722091057.GA70283@minotaur.apache.org%3E