Podatność w Apache Tomcat umożliwia obejście niektórych reguł rewrite za pomocą specjalnie spreparowanego żądania HTTP. Jeśli ominięte reguły wymuszały ograniczenia bezpieczeństwa, możliwe jest ich całkowite pominięcie bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
Improper Neutralization of Escape, Meta, or Control Sequences vulnerability in Apache Tomcat. For a subset of unlikely rewrite rule configurations, it was possible for a specially crafted request to bypass some rewrite rules. If those rewrite rules effectively enforced security constraints, those constraints could be bypassed. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.5, from 10.1.0-M1 through 10.1.39, from 9.0.0.M1 through 9.0.102. The following versions were EOL at the time the CVE was created but are known to be affected: 8.5.0 though 8.5.100. Other, older, EOL versions may also be affected. Users are recommended to upgrade to version [FIXED_VERSION], which fixes the issue.
Błąd sklasyfikowany jako CWE-116 (Improper Neutralization of Escape, Meta, or Control Sequences) dotyczy mechanizmu przetwarzania reguł rewrite w Apache Tomcat. Atakujący może wysłać specjalnie spreparowane żądanie HTTP, które w określonych — choć mało prawdopodobnych — konfiguracjach reguł rewrite powoduje ich ominięcie. Jeśli takie reguły stanowiły jedyną warstwę kontroli dostępu lub innej polityki bezpieczeństwa, możliwe jest ich obejście bez żadnych uprawnień ani interakcji użytkownika.
Atakujący może ominąć ograniczenia bezpieczeństwa wymuszane przez reguły rewrite, co potencjalnie prowadzi do nieautoryzowanego dostępu do chronionych zasobów, naruszenia poufności, integralności i dostępności aplikacji.
Należy zaktualizować Apache Tomcat do wersji załatanych wskazanych w referencjach producenta (ogłoszenie dostępne pod adresem lists.apache.org). Podatność dotyczy wyłącznie konfiguracji używających reguł rewrite — organizacje niestosujące modułu rewrite są narażone w mniejszym stopniu. Zaleca się przegląd istniejących reguł rewrite pod kątem wymuszania krytycznych ograniczeń bezpieczeństwa.
Apache Tomcat w wersjach: 11.0.0-M1 do 11.0.5, 10.1.0-M1 do 10.1.39, 9.0.0.M1 do 9.0.102. Wersja 8.5.0–8.5.100 jest oznaczona jako EOL, ale również podatna. Starsze wersje EOL mogą być również dotknięte problemem.
Podatność dotyczy jedynie podzbioru konfiguracji z regułami rewrite, które zostały opisane przez producenta jako 'mało prawdopodobne'. Ryzyko praktyczne zależy od konkretnej konfiguracji serwera. Wersja 8.5.x była w stanie EOL w momencie publikacji CVE.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Tomcat
APPApache9.0.0 – 9.0.104 (bez)10.1.0 – 10.1.40 (bez)11.0.0 – 11.0.6 (bez)
Powiązane podatności
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych
When using the Apache JServ Protocol (AJP), care must be taken when trusting incoming connections to Apache To...
Remote code execution is possible with Apache Tomcat before 6.0.48, 7.x before 7.0.73, 8.x before 8.0.39, 8.5....
Detection of Error Condition Without Action vulnerability in Apache Tomcat when configuring CRLs for a FFM bas...
Always-Incorrect Control Flow Implementation vulnerability in Apache Tomcat meant that special roles and empty...