VulDB: Apache Tomcat bis 5.5.12 Directory Listing Denial of Service
Allgemein
scipID: 1867
Betroffen: Apache Tomcat bis 5.5.12
Veröffentlicht: 04.11.2005 (David Maciejak)
Risiko: 
kritisch
Beschreibung
Apache Tomcat stellt eine Umgebung zur Ausführung von Java-Code auf Webservern bereit, die im Rahmen des Jakarta-Projekts der Apache Software Foundation entwickelt wird. David Maciejak entdeckte eine Denial of Service-Schwachstelle, die sämtliche Versionen bis 5.5.12 betrifft. Und zwar erzeugen mehrere Anfragen auf Verzeichnisse mit mehreren Dateien als Inhalt und ohne Index-Datei eine hohe CPU-Auslastung. Dies kann dazu führen, dass legitimen Benutzern der Zugriff auf das besagte Verzeichnis, und zwar nur dieses, verwehrt bleibt. Bei den Versionen 5.5.11 ist dies ein konstanter Fehler. Bei der Version 5.5.12 wurde er teilweise adressiert: Dort regeneriert sich das System nach einigen Minuten wieder.
Grundsätzlich müssen zwei Dinge erfüllt sein, damit dieser Angriff Fuss fassen kann: So auf dem Webserver Index-Listing aktiviert und eine Vielzahl an Dateien in einem solchen Verzeichnis vorhanden sein. Diese Sicherheitskücke ist nicht wirklich akut, denn der Absturz eines solchen Webverzeichnisses ist lediglich lästig und keine wirklich grosse Gefahr.
Exploiting
Klasse: Denial of Service
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: –
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://tomcat.apache.org/download-55.cgi
Snort: –
Pattern: –
Quellen
Advisory: http://secunia.com/advisories/17416/
CVE: CVE-2005-3510
OSVDB: 20439
Securityfocus: 15325
Secunia: 17416
X-Force: –
Securitytracker: 1015147
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. November 2005
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
