Directory-Traversal-Lücke in Apache Tomcat

In Apache Tomcat gibt es ein Directory-Traversal-Problem, das den Zugriff auf beliebige Dateien des Servers erlaubt. Laut der Warnung von US-CERT tritt das Problem nur dann auf, wenn ein Kontext allowLinking="true" gesetzt und der zugehörige Connector auf URIEncoding="UTF-8" eingestellt ist. Es soll allerdings ein öffentlich verfügbarer Exploit-Code existieren, der die Lücke ausnutzt. Von dem Fehler sind alle 6er-Versionen von Tomcat bis einschließlich 6.0.16, sowie Tomcat 4.1.0-4.1.37 und 5.5.0-5.5.26 betroffen. Die jeweils aktuellen Versionen wie Apache Tomcat 6.0.18 beseitigen neben der Directory-Traversal-Lücke, u.a zwei XSS-Lücken und ein allgemeines "Information Disclosure"-Problem. Apache Tomcat ist die Implementierung des Apache-Projekts für Java Servlets und Java Server Pages.

0 Kommentar(e)

Zum Posten von Kommentaren bitte