Bundesamt für Sicherheit in der Informationstechnik

CB-K18/0441

Risikostufe 2

Titel:Apache Tomcat JK Connector (mod_jk): Eine Schwachstelle ermöglicht das Umgehen von SicherheitsvorkehrungenDatum:13.03.2018Software:Apache Software Foundation Tomcat, Apache Software Foundation Tomcat JK Connector >= 1.2.0, Apache Software Foundation Tomcat JK Connector < 1.2.43Plattform:GNU/LinuxAuswirkung:Umgehen von SicherheitsvorkehrungenRemoteangriff:JaRisiko:niedrigCVE Liste:CVE-2018-1323Bezug: Apache Security Advisory: Fixed in Apache Tomcat JK Connector 1.2.43

Beschreibung

Apache Tomcat ist ein Open Source Webserver und Webcontainer. Er implementiert die Spezifikation für Java Servlets und JavaServer Pages (JSP).

Der Apache JK Connector ist eine Webserver-Komponente für die unsichtbare Integration des Apache Tomcat Servers mit einem Webserver, wie beispielsweise den Apache HTTP-Server oder den Microsoft Internet Information Server (IIS). Die Kommunikation zwischen Webserver und Tomcat findet über das JK-Protokoll (bekannt als "AJP protocol") statt.

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle im Apache Tomcat JK Connector ausnutzen, um auf Funktionalitäten der Anwendung über den Reverse Proxy zuzugreifen, auf welche er keinen Zugriff haben sollte. Apache Tomcat JK Connector (mod_jk) 1.2.43 steht als Sicherheitsupdate bereit, um diese Schwachstelle zu beheben.