Setzen Angreifer erfolgreich an einer Sicherheitslücke im Open-Source-Webserver Apache Tomcat an, könnten sie Verbindungen unterbrechen und unter Umständen Informationen leaken lassen. Nun haben die Entwickler reparierte Versionen veröffentlicht.
Aus der Mailingliste von Apache Tomcat geht derzeit nicht hervor, mit welchem Bedrohungsgrad die Schwachstelle (CVE-2020-17527) eingestuft ist. Nichtsdestotrotz sollten Admins ihre Webserver zügig auf den aktuellen Stand bringen.
Die Entwickler haben herausgefunden, dass Angreifer auf nicht näher beschriebenem Weg aus älteren Streams empfangene HTTP-Anfragen wieder benutzen könnten. Das führt in der Regel zu einem Fehler und die Verbindung bricht ab (DoS). Außerdem soll es möglich sein, dass so Informationen leaken.
Abgesichert sind die Ausgaben 8.5.60, 9.0.40 und 10.0.0-M10. Alle vorigen Versionen sind den Entwicklern zufolge bedroht.
Quelle: Sicherheitsupdate: Angreifer könnten Webserver mit Apache Tomcat attackieren | heise online