Alert GCSA 18087 - Vulnerabilita' in Apache Tomcat
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-18087
Data : 2 novembre 2018
Titolo : Vulnerabilita' in Apache Tomcat
******************************************************************
:: Descrizione del problema
E' stata riscontrata una vulnerabilita' in Apache Tomcat JK Connectors
per le versioni dalla 1.2.0 alla 1.2.44, che puo' consentire ad un
attaccante remoto l'accesso a informazioni sensibili.
:: Software interessato
Apache Tomcat JK mod_jk Connector 1.2.0 to 1.2.44
:: Impatto
Il codice di Apache Web Server (httpd) che normalizza il path richiesto
prima di tradurlo in un pattern URI da passare a Tomcat, non gestisce
correttamente alcuni casi limite. Se solo un sottoinsieme delle URL
gestite da Tomcat venisse esposto tramite httpd, sarebbe possibile
per una richiesta specificamente costruita, esporre la funzionalita'
di un'applicazione tramite il reverse-proxy, anche se non previsto
per i client che lo usano per accedere all'applicazione.
E' anche possibile, in alcune configurazioni, e sempre per una richiesta
costruita appositamente, violare il controllo degli accessi configurato
nel server httpd.
Questa vulnerabilita' ha alcuni punti in comune con la CVE-2018-1323
(https://www.security-database.com/detail.php?alert=CVE-2018-1323).
:: Soluzioni
- - Aggiornare ad Apache Tomcat JK ISAPI Connector 1.2.46 o successivo.
- - Usare misure alternative, come ad esempio un filtro sugli indirizzi remoti
per limitare l'accesso agli utenti noti.
:: Riferimenti
US-CERT
https://www.us-cert.gov/ncas/current-activity/2018/10/31/Apache-Releases-Security-Update-Apache-Tomcat-JK-Connectors
Apache.org
http://mail-archives.us.apache.org/mod_mbox/www-announce/201810.mbox/%3c16a616e5-5245-f26a-a5a4-2752b2826703@apache.org%3e
GARR CERT Newsletter subscribe/unsubscribe:
https://www.cert.garr.it/it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCW9wLYQAKCRDBnEyTZRJg
QiZWAKCCyYeybtBO5hvzNuF9hTrGhwJjqQCfQRPHzodYcCutaw6zu5WSEEROcrw=
=Ln0x
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-18087
Data : 2 novembre 2018
Titolo : Vulnerabilita' in Apache Tomcat
******************************************************************
:: Descrizione del problema
E' stata riscontrata una vulnerabilita' in Apache Tomcat JK Connectors
per le versioni dalla 1.2.0 alla 1.2.44, che puo' consentire ad un
attaccante remoto l'accesso a informazioni sensibili.
:: Software interessato
Apache Tomcat JK mod_jk Connector 1.2.0 to 1.2.44
:: Impatto
Il codice di Apache Web Server (httpd) che normalizza il path richiesto
prima di tradurlo in un pattern URI da passare a Tomcat, non gestisce
correttamente alcuni casi limite. Se solo un sottoinsieme delle URL
gestite da Tomcat venisse esposto tramite httpd, sarebbe possibile
per una richiesta specificamente costruita, esporre la funzionalita'
di un'applicazione tramite il reverse-proxy, anche se non previsto
per i client che lo usano per accedere all'applicazione.
E' anche possibile, in alcune configurazioni, e sempre per una richiesta
costruita appositamente, violare il controllo degli accessi configurato
nel server httpd.
Questa vulnerabilita' ha alcuni punti in comune con la CVE-2018-1323
(https://www.security-database.com/detail.php?alert=CVE-2018-1323).
:: Soluzioni
- - Aggiornare ad Apache Tomcat JK ISAPI Connector 1.2.46 o successivo.
- - Usare misure alternative, come ad esempio un filtro sugli indirizzi remoti
per limitare l'accesso agli utenti noti.
:: Riferimenti
US-CERT
https://www.us-cert.gov/ncas/current-activity/2018/10/31/Apache-Releases-Security-Update-Apache-Tomcat-JK-Connectors
Apache.org
http://mail-archives.us.apache.org/mod_mbox/www-announce/201810.mbox/%3c16a616e5-5245-f26a-a5a4-2752b2826703@apache.org%3e
GARR CERT Newsletter subscribe/unsubscribe:
https://www.cert.garr.it/it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCW9wLYQAKCRDBnEyTZRJg
QiZWAKCCyYeybtBO5hvzNuF9hTrGhwJjqQCfQRPHzodYcCutaw6zu5WSEEROcrw=
=Ln0x
-----END PGP SIGNATURE-----