Apache Tomcat, ein weit verbreiteter Open-Source-Webserver und Servlet-Container, ist für das Hosting von Java-Anwendungen von zentraler Bedeutung. Er weist eine kritische Schwachstelle zur Umgehung der Authentifizierung (CVE-2024-52316) auf, die bei bestimmten Konfigurationen einen unbefugten Zugriff ermöglichen kann.
| Produkt | Apache Tomcat |
| Datum | 25.11.2024 15:21:18 |
| Informationen |
|
Technische Zusammenfassung
CVE-2024-52316 ist eine Schwachstelle im Zusammenhang mit der Behandlung nicht abgefangener Fehler, die folgende Tomcat-Versionen betrifft:
- 11.0.0-M1 bis 11.0.0-M26
- 10.1.0-M1 bis 10.1.30
- 9.0.0-M1 bis 9.0.95
Wenn eine benutzerdefinierte Jakarta Authentication ServerAuthContext-Komponente während der Authentifizierung auf eine Ausnahme stößt, aber nicht explizit einen HTTP-Statuscode für den Fehler setzt, kann die Authentifizierung versehentlich erfolgreich sein, was einen unbefugten Zugriff ermöglicht.
Obwohl derzeit keine Jakarta Authentication-Komponenten bekannt sind, die dieses Verhalten aufweisen, sind Systeme, die benutzerdefinierte Implementierungen verwenden, gefährdet. Die Schwachstelle wurde in den Tomcat-Versionen 11.0.0, 10.1.31 und 9.0.96 behoben.
Empfehlungen
- Aktualisieren Sie Apache Tomcat auf die neuesten korrigierten Versionen:
- 11.0.0 für Benutzer der 11.x-Serie.
- 10.1.31 für Benutzer der 10.x-Serie.
- 9.0.96 für Benutzer der 9.x-Serie.
[Callforaction-THREAT-Footer]
Leave a Reply