Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in Apache Tomcat JK Connector

apache  Apache Tomcat   lunedì, 5 novembre 2018

Apache Tomcat è un application server open source sviluppato dalla Apache Software Foundation che implementa le tecnologie Java Servlet, JavaServer Pages, Java Expression Language e Java WebSocket, fornendo una piattaforma software per lo sviluppo di applicazioni Web realizzate col linguaggio Java.

È stata scoperta una vulnerabilità di gravità elevata in Apache Tomcat JK (mod_jk) Connector (CVE-2018-11759), il connettore per il server HTTP Apache (httpd), che potrebbe consentire ad un attaccante remoto di ottenere informazioni potenzialmente sensibili.

La vulnerabilità deriva da una gestione non corretta di alcuni casi limite da parte del codice specifico di Apache che normalizza il percorso richiesto prima di passarlo ad un’istanza di Tomcat mediante opportune regole di mappatura definite dal meccanismo URI-worker map. Se solo un sottoinsieme delle URL gestite da Tomcat venisse esposto tramite httpd, sarebbe possibile per un attaccante utilizzare una richiesta appositamente predisposta per esporre le funzionalità di un’applicazione tramite il reverse proxy, anche se non previsto per i client che lo usano per accedere all’applicazione.
In alcune configurazioni, l’attaccante potrebbe altresì violare, sempre tramite una specifica richiesta, il controllo d’accesso configurato nel server httpd.

La vulnerabilità affigge le seguenti versioni di Apache Tomcat JK Connector dalla 1.2.0 alla 1.2.44. Gli utenti di Apache Tomcat debbono aggiornare Apache Tomcat JK Connector alla versione 1.2.46 o successiva.

Per maggiori dettagli sulla vulnerabilità, sui prodotti affetti, sugli aggiornamenti disponibili e sulle soluzioni di mitigazione, si raccomanda agli amministratori di server Tomcat di consultare il seguenti bollettino di sicurezza (in Inglese):

Notizie correlate

Vulnerabilità di tipo DoS in Apache Tomcat

1 luglio 2019

È stata scoperta una vulnerabilità di gravità elevata in Apache Tomcat che potrebbe consentire ad un attaccante remoto di causare condizioni di denial of service sui sistemi affetti.Leggi tutto

Vulnerabilità in Apache Tomcat consente esecuzione di codice da remoto

17 aprile 2019

È stata scoperta una vulnerabilità di gravità elevata in Apache Tomcat che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario sui sistemi Microsoft Windows.Leggi tutto

Vulnerabilità multiple in Apache HTTP Server

3 aprile 2019

Sono state risolte diverse vulnerabilità in Apache HTTP Server 2.4.x, la più grave delle quali potrebbe essere sfruttata da un utente malevolo per eseguire codice con i privilegi di root.Leggi tutto