VulDB: Apache Tomcat Manager bis 6.0.HEAD Cross-Site Scripting
Allgemein
scipID: 3133
Betroffen: Apache Tomcat Manager bis 6.0.HEAD
Veröffentlicht: 15.06.2007 (Daiki Fukumori, Secure Sky Technology)
Risiko: 
problematisch
Beschreibung
Apache Tomcat stellt eine Umgebung zur Ausführung von Java-Code auf Webservern bereit, die im Rahmen des Jakarta-Projekts der Apache Software Foundation entwickelt wird. Es handelt sich um einen in Java geschriebenen Servlet-Container, der mithilfe des JSP-Compilers Jasper auch JavaServer Pages in Servlets übersetzen und ausführen kann. Dazu kommt ein kompletter HTTP-Server. Der HTTP-Server des Tomcat wird vor allem zur Entwicklung eingesetzt, während in Produktion zumeist ein Apache Web-Server vor den Tomcat geschaltet wird. Dazu wird in Apache ein Plugin eingebunden, das Requests für dynamische Inhalte an Tomcat weiterleitet. Das Plugin spricht Tomcat dann normalerweise über das Apache JServ Protocol an. Daiki Fukumori von Secure Sky Technologies fiel auf, dass Eingaben, die an die Eingabefelder in manager/html/upload übergeben werden nur unzureichend validiert werden, bevor sie an den Benutzer zurückgegeben werden. Dies ermöglicht es einem Angreifer, XSS- und weitere webbasierte Angriffe auszuführen.
Eine klassische XSS-Lücke, wie sie zu hunderten exisiert. Obschon Tomcat recht beliebt ist, ist diese Lücke derzeit nicht als übermässig kritisch anzusehen. Es wird empfohlen, entsprechende Patches baldmöglichst einzuspielen, um mögliche Angriffssszenarien zu reduzieren.
Exploiting
Klasse: Cross Site Scripting
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: –
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: –
Snort: –
Pattern: –
Quellen
Advisory: http://jvn.jp/jp/JVN%2307100457/index.html
CVE: CVE-2007-2450
OSVDB: 36079
Securityfocus: 24475
Secunia: 28549
X-Force: 34868
Securitytracker: –
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. Juni 2007
Buchtipp: Marc Ruef (2007), Die Kunst des Penetration Testing, C&L Verlag, ISBN 3936546495 (amazon.de)
