Sicherheitsproblem: Verwundbarkeit in Apache Tomcat vor Versionen 9.0.31, 8.5.51 und 7.0.100
Problemkennung: CVE-2020-1938
Angriffszenario: Es besteht die Möglichkeit, dass Dateien ausgelesen werden können und unter Umständen Code ausgeführt wird. Der Angriff erfolgt über den "AJP Connector Service", welcher standardmäßig unter Port 8009/tcp erreichbar ist.
Betrifft: Verschiedene DRACOON-Services
Beschreibung: Bei vielen serverseitigen DRACOON-Services wird Apache Tomcat eingesetzt, der "AJP Connector Service" kommt jedoch standardmäßig bei keinem DRACOON-Service zum Einsatz.
Abschwächende Faktoren: Uns ist zum aktuellen Zeitpunkt kein Fall bekannt, bei dem der "AJP Connector Service" bei einem DRACOON-Service zum Einsatz kommt oder gekommen ist. In allen durch DRACOON betreuten Umgebungen ist der Port nicht erreichbar, und die Sicherheitslücke ist deshalb nach aktuellem Kenntnisstand nicht ausnutzbar.
Auswirkung auf On-Premises-Installationen: Kunden, die DRACOON eigenverantwortlich und/oder auf eigenen Servern betreiben, sind nur dann betroffen, wenn der Port 8009/tcp entgegen der Standardempfehlungen von DRACOON (nach außen) verfügbar gemacht wurde. Im Normalfall ist der betroffene Port von einer lokalen Firewall (z.B. firewalld) für Zugriffe von außen gesperrt.
Es empfiehlt sich außerdem grundsätzlich alle Server und deren Dienste in regelmäßigen Abständen zu aktualisieren. Dies gilt insbesondere, sobald Updates für bereits installierte DRACOON-Services verfügbar gemacht wurden.
Problembehebung
Aufgrund ihrer Konfiguration sind die DRACOON-Services nach aktuellem Kenntnisstand nicht durch den in CVE-2020-1938 beschriebenen Angriffsvektor verwundbar, daher ist eine Aktualisierung nicht zeitkritisch. DRACOON folgt dennoch der Empfehlung des CVE/der Tomcat-Entwickler und wird in den kommenden Tagen Updates für alle Services veröffentlichen, welche Apache Tomcat intern einsetzen.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.