RCE-Schwachstelle CVE-2025-24813 in Apache Tomcat

Publiziert am 11. März 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Kurze Information für Leser, die für einen Apache Tomcat-Server verantwortlich sind. Es gibt wohl eine Schwachstelle CVE-2025-24813, die eine Remote Code Execution (RCE) ermöglicht. Es sind auch Datenabflüsse möglich – daher sollten entsprechende Installationen umgehen aktualisiert werden.

Anzeige

Die Schwachstelle CVE-2025-24813

Apache Tomcat, ein weit verbreiteter Open-Source-Webserver und Servlet-Container. Aber es gibt eine kritische Schwachstelle in der Software. Mir ist das Thema durch nachfolgenden Tweet unter die Augen gekommen.

Apache Tomcat Schwachstelle CVE-2025-24813

Auf NIST ist die Schwachstelle CVE-2025-24813 zum 10. März 2025 öffentlich gemacht worden. Es gibt laut NIST ein Problem mit der Path Equivalence, die folgende Produkte betrifft.

  • Apache Tomcat 11.0.0-M1 to 11.0.2
  • Apache Tomcat 10.1.0-M1 to 10.1.34
  • Apache Tomcat 9.0.0.M1 to 9.0.98

Die Schwachstelle besteht in der Behandlung von partiellen PUT-Anfragen, die anfällig für einen RCE-Angriff sind.

Anzeige

Path Equivalence: 'file.Name' (Internal Dot) leading to Remote Code Execution and/or Information disclosure and/or malicious content added to uploaded files via write enabled Default Servlet in Apache Tomcat.

Die Implementierung von PUT verwendet eine temporäre Datei, die auf dem vom Benutzer angegebenen Dateinamen und Pfad basiert, wobei das Pfad-Trennzeichen durch einen Punkt (.) ersetzt wird. Dieser interne Punkt in "file.Name" kann zur Remote Code Execution und/oder Offenlegung von Informationen führen und/oder zum Upload von bösartigen Inhalten das schreibaktivierte Default Servlet in Apache Tomcat führen.

Vom Apache-Projekt gibt es diesen Eintrag in der Mailing-Liste mit weiteren Informationen, wann sich die Schwachstelle ausgenutzt werden kann. Treffen alle folgenden Punkte:

  • Schreibzugriff für das Standard-Servlet aktiviert (standardmäßig deaktiviert)
  • Unterstützung für partielles PUT (standardmäßig aktiviert)
  • eine Ziel-URL für sicherheitsempfindliche Uploads, die ein Unterverzeichnis einer Ziel-URL für öffentliche Uploads war
  • Kenntnis des Angreifers über die Namen der hochgeladenen sicherheitsempfindlichen Dateien
  • Die sicherheitsempfindlichen Dateien wurden auch über partielles PUT hochgeladen

zu, konnte ein böswilliger Benutzer sicherheitskritische Dateien anzeigen und/oder Inhalte in diese Dateien einfügen. Unter bestimmten Bedingungen (wie Schreibzugriff für das Standard-Servlet aktiviert), war ein Angreifer sogar zur Remotecodeausführung  in der Lage. Details lassen sich in diesem Eintrag nachlesen. Benutzern wird ein Upgrade auf folgende Versionen empfohlen.

  • Apache Tomcat 11.0.3 oder höher
  • Apache Tomcat 10.1.35 oder höher
  • Apache Tomcat 9.0.99 oder höher

Das Debian-Projekt hat einen entsprechenden Eintrag zu CVE-2025-24813 im Security-Tracker veröffentlicht.

Anzeige
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.