Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in Apache Tomcat JK Connector

apache  Apache Tomcat   lunedì, 5 novembre 2018

Apache Tomcat è un application server open source sviluppato dalla Apache Software Foundation che implementa le tecnologie Java Servlet, JavaServer Pages, Java Expression Language e Java WebSocket, fornendo una piattaforma software per lo sviluppo di applicazioni Web realizzate col linguaggio Java.

È stata scoperta una vulnerabilità di gravità elevata in Apache Tomcat JK (mod_jk) Connector (CVE-2018-11759), il connettore per il server HTTP Apache (httpd), che potrebbe consentire ad un attaccante remoto di ottenere informazioni potenzialmente sensibili.

La vulnerabilità deriva da una gestione non corretta di alcuni casi limite da parte del codice specifico di Apache che normalizza il percorso richiesto prima di passarlo ad un’istanza di Tomcat mediante opportune regole di mappatura definite dal meccanismo URI-worker map. Se solo un sottoinsieme delle URL gestite da Tomcat venisse esposto tramite httpd, sarebbe possibile per un attaccante utilizzare una richiesta appositamente predisposta per esporre le funzionalità di un’applicazione tramite il reverse proxy, anche se non previsto per i client che lo usano per accedere all’applicazione.
In alcune configurazioni, l’attaccante potrebbe altresì violare, sempre tramite una specifica richiesta, il controllo d’accesso configurato nel server httpd.

La vulnerabilità affigge le seguenti versioni di Apache Tomcat JK Connector dalla 1.2.0 alla 1.2.44. Gli utenti di Apache Tomcat debbono aggiornare Apache Tomcat JK Connector alla versione 1.2.46 o successiva.

Per maggiori dettagli sulla vulnerabilità, sui prodotti affetti, sugli aggiornamenti disponibili e sulle soluzioni di mitigazione, si raccomanda agli amministratori di server Tomcat di consultare il seguenti bollettino di sicurezza (in Inglese):

Notizie correlate

Aggiornamento di sicurezza critico per Apache Struts 2

6 novembre 2018

La Apache Software Foundation ha pubblicato un avviso di sicurezza riguardante una vulnerabilità critica di tipo esecuzione di codice da remoto in Apache Struts 2.Leggi tutto

Vulnerabilità in Apache Tomcat

5 ottobre 2018

È stata scoperta una vulnerabilità di media gravità in Apache Tomcat che potrebbe consentire ad un attaccante remoto di ottenere informazioni potenzialmente sensibili.Leggi tutto

Vulnerabilità in Apache Tomcat

24 luglio 2018

Sono state scoperte due gravi vulnerabilità in Apache Tomcat che potrebbero consentire ad un attaccante remoto di causare condizioni di DoS o di ottenere informazioni riservate.Leggi tutto