Authentifizierungs Bypass Sicherheitslücke in Apache Tomcat: CVE-2024-52316
Table of Contents
Am 18. November 2024 wurde eine kritische Schwachstelle in Apache Tomcat bekannt (CVE-2024-52316), die eine Umgehung der Authentifizierung ermöglicht. Die Schwachstelle betrifft Benutzer, die eine benutzerdefinierte Jakarta-Authentication-Komponente (ehemals JASPIC) verwenden. Wenn diese Komponente während des Authentifizierungsprozesses eine Ausnahme auslöst, ohne explizit einen HTTP-Fehlerstatus zu setzen, kann die Authentifizierung fälschlicherweise als erfolgreich angesehen werden.
Betroffene Versionen
- Apache Tomcat 11: Versionen 11.0.0-M1 bis 11.0.0-M26
- Apache Tomcat 10.1: Versionen 10.1.0-M1 bis 10.1.30
- Apache Tomcat 9: Versionen 9.0.0-M1 bis 9.0.95
Ein Upgrade auf die genannten Versionen wird dringend empfohlen, um mögliche Sicherheitsrisiken zu vermeiden. Es sind derzeit keine bekannten Jakarta Authentication-Komponenten betroffen, die dieses Verhalten zeigen, dennoch wird Vorsicht empfohlen.
Weitere Informationen finden Sie in der offiziellen Ankündigung: