Apache verhelpt kwetsbaarheden in Tomcat

Er is een kwetsbaarheid ontdekt in Apache Tomcat. Apache heeft updates beschikbaar gesteld om de kwetsbaarheid te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Apache verhelpt kwetsbaarheden in Tomcat
Advisory ID     : NCSC-2012-0040
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2010-3718, CVE-2011-0013, CVE-2011-1184,
                  CVE-2011-2204, CVE-2011-2526, CVE-2011-3190
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Omzeilen van authenticatie
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20120206
Toepassing      : Apache Software Foundation Tomcat
Versie(s)       : ouder dan 5.5.34
                  ouder dan 6.0.34
                  ouder dan 7.0.21
Platform(s)     : Apple Mac OS X
                  BSD
                  Linux
                  Microsoft Windows
                  Sun Solaris

Update
   Debian heeft updates beschikbaar gesteld van tomcat6 om de
   kwetsbaarheden te verhelpen. Zie "Mogelijke oplossingen" voor meer
   informatie.

Samenvatting
   Er is een kwetsbaarheid ontdekt in Apache Tomcat. Apache heeft
   updates beschikbaar gesteld om de kwetsbaarheid te verhelpen.

Gevolgen
   Kwaadwillenden kunnen de gevonden kwetsbaarheid misbruiken voor het
   verkrijgen van gevoelige informatie en het omzeilen van
   beveiligingsmaatregelen.

Beschrijving
   - CVE-2011-3190
   Er is een kwetsbaarheid ontdekt in het AJP protocol van Apache
   Tomcat. AJP wordt gebruikt als reverse proxy om berichten en
   bijbehorende data door te sluizen van webserver naar
   applicatieserver. 
   
   Het protocol is zo ontworpen dat wanneer het bericht ook
   berichtinhoud bevat er ongevraagd een nieuw bericht teruggestuurd
   wordt met deze inhoud. In sommige omstandigheden verwerkte Tomcat
   het bericht als een nieuw bericht, waardoor een aanvaller de
   volledige controle heeft over het AJP berichtenverkeer, waar
   bijvoorbeeld een naam van een geauthenticeerde gebruiker gebruikt
   kan worden, een willekeurig client adres opgegeven kan worden en
   berichten van andere gebruikers gelezen kunnen worden.
   
   Update 24-11-2011:
   HP heeft updates beschikbaar gesteld voor HP-UX om kwetsbaarheden
   in Tomcat te verhelpen. Deze update verhelpt kwetsbaarheden die in
   meerdere eerdere advisories gemeld zijn.
   
   CVE-ID        | Advisory
   -----------------------------------------------------------------
   CVE-2011-3190 | GOVCERT.NL-2011-391
   CVE-2011-2729 | Omzeilen beveiligingsmaatregel (leestoegang tot 
                 | bestanden)
   CVE-2011-2526 | GOVCERT.NL-2011-391
   CVE-2011-2204 | GOVCERT.NL-2011-391
   CVE-2011-0013 | GOVCERT.NL-2011-055
   CVE-2010-4476 | GOVCERT.NL-2011-072
   CVE-2010-3718 | GOVCERT.NL-2011-055

Mogelijke oplossingen
   Apache heeft updates beschikbaar gesteld om de kwetsbaarheid te
   verhelpen. 
   
   Voor de 7.0.x boom is versie 7.0.21 uitgebracht. Zie voor meer
   informatie de volgende pagina:
   
   http://mail-archives.apache.org/mod_mbox/tomcat-announce
    /201109.mbox/<4E60991A.1080605@apache.org>
   
   Voor de 6.0.x boom is versie 6.0.34 uitgebracht.
   Voor de 5.5.x boom is versie 5.5.34 uitgebracht.
   
   -= CentOS =-
   CentOS heeft updates uitgebracht voor CentOS 5 om de kwetsbaarheden
   te verhelpen. U kunt de updates installeren door gebruik te maken
   van up2date of yum. Voor meer informatie en een eventueel
   handmatige installatie, zie:
   
   http://permalink.gmane.org/gmane.linux.centos.announce/6334
   http://permalink.gmane.org/gmane.linux.centos.announce/6335
   
   Update 23 december 2011:
   CentOS heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in het tomcat6 pakket. Zie voor meer informatie:
   
   http://permalink.gmane.org/gmane.linux.centos.announce/6354
   http://permalink.gmane.org/gmane.linux.centos.announce/6335
   
   -= Debian =-
   Debian heeft updates van tomcat6 beschikbaar gesteld voor Debian
   6.0 (squeeze) om de kwetsbaarheden te verhelpen. U kunt de
   aangepaste packages installeren door gebruik te maken van 'apt-get
   update' en 'apt-get upgrade'. Meer informatie kunt u vinden op
   onderstaande pagina:
      
   http://www.debian.org/security/2012/dsa-2401
   
   -= Fedora =-
   Fedora heeft een update uitgebracht om de kwetsbaarheid te
   verhelpen op Fedora 15. Voor meer informatie, zie:
   
   http://permalink.gmane.org/gmane.linux.redhat.fedora.
     package.announce/68034
   
   -= FreeBSD =-
   FreeBSD heeft updates uitgebracht om de kwetsbaarheid met ID
   CVE-2011-0013 te verhelpen. Voor meer informatie, zie:
   http://www.freebsd.org/ports/portaudit/553ec4ed
       -38d6-11e0-94b1-000c29ba66d2.html
   
   -= HP =-
   HP heeft een update uitgebracht om de kwetsbaarheid te verhelpen op
   HP-UX. Voor meer informatie, zie:
   
   http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay
    /?docId=emr_na-c03090723
   
   -= Oracle =-
   Oracle heeft patches uitgebracht voor Solaris 9 en 10 om de
   kwetsbaarheden met ID CVE-2010-3718 en CVE-2011-0013 te verhelpen.
   Meer informatie vindt u in het beveiligingsadvies van Oracle:
   
   http://blogs.oracle.com/sunsecurity/entry
       /multiple_vulnerabilities_in_apache_tomcat1
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gemaakt voor Red Hat 6. U kunt
   deze updates installeren met behulp van het commando 'up2date' of
   'yum'. Meer informatie over deze updates en over een eventueel
   handmatige installatie vindt u op:
   
   http://rhn.redhat.com/errata/RHSA-2011-1780.html
   
   Update 21-12-2011:
   Red Hat heeft updates beschikbaar gemaakt voor Red Hat 5. Meer
   informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:
   
   http://rhn.redhat.com/errata/RHSA-2011-1845.html
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gemaakt om de kwetsbaarheid te
   verhelpen in SUSE 10. U kunt deze aangepaste packages installeren
   door gebruik te maken van 'YaST'. U kunt het package ook handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:
   
   https://hermes.opensuse.org/messages/12057660
   
   -= Ubuntu =-
   Ubuntu heeft updates voor Tomcat 6 beschikbaar gesteld voor Ubuntu
   10.04 LTS, 10.10, 11.04 en 11.10 om de kwetsbaarheid te verhelpen.
   U kunt de aangepaste packages installeren door gebruik te maken van
   'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u
   vinden op onderstaande pagina:
   
   http://www.ubuntu.com/usn/usn-1252-1/

Hyperlinks
   http://mail-archives.apache.org/mod_mbox/tomcat-announce
      /201108.mbox/%3C4E5BEDE0.8010604@apache.org%3E

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 10.1.1 (Build 10)
Charset: utf-8

wlcDBQFPL/vLQ+C/3OQykckRCJ7BAP9ZBvyJ2q6lX1PyTw41CtkOLesBU9PoFNy7
EJuuL7HzIQD/evn3K1dHqim5Xng0iQ1Qg1JJjk91yqySRWwum6u7HmQ=
=XzJu
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig