Alert!

Apache Tomcat: Denial-of-Service-Angriffe auf ältere Versionen möglich

Zugunsten aktueller Lücken-Fixes sollten Tomcat-Nutzer, sofern noch nicht geschehen, auf die aktuellste Ausgabe der genutzten Versionsreihe upgraden.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 15 Beiträge

(Bild: Apache Software Foundation / Shutterstock (Collage))

Von
  • Olivia von Westernhagen

Einige Versionen von Apache Tomcat, einem Webserver beziehungsweise -container für in Java geschriebene Webanwendungen, sind über zwei Sicherheitslücken angreifbar. Von einer Lücke (CVE-2020-13934) geht ein hohes Sicherheitsrisiko aus (CVE-2020-13935, Einstufung "important"); die andere wurde als "moderate" bewertet. Unter bestimmten Voraussetzungen ist es in beiden Fällen möglich, einen Denial-of-Service-Zustand zu provozieren.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Das Apache-Team empfiehlt, die installierte Version zu überprüfen und diese, sofern noch nicht geschehen, zu aktualisieren. Angreifbar sind die Tomcat-Versionen

  • Apache Tomcat 10.0.0-M1 bis einschließlich 10.0.0-M6
  • Apache Tomcat 9.0.0.M5 bis einschließlich 9.0.36 und
  • Apache Tomcat 8.5.1 bis 8.5.56 inklusive.

Von CVE-2020-13935 sind zusätzlich auch die 7er-Versionen 7.0.27 bis einschließlich 7.0.104 betroffen.

Weitere Informationen zu den beiden Lücken sind den "Fixed"-Abschnitten zu den abgesicherten Versionen 7.0.105, 8.5.57, 9.0.37 und 10.0.0-M7 auf der Apache-Tomcat-Website zu entnehmen:

(ovw)