Race-Condition in Apache Tomcat ermöglicht Remote Code Execution (CVE-2024-50379)

Table of Contents

Eine schwere Sicherheitslücke in Apache Tomcat, bekannt als CVE-2024-50379, erlaubt Angreifern die Ausführung von Remote Code (RCE) auf betroffenen Systemen. Der Fehler basiert auf einer Time-of-check Time-of-use (TOCTOU) Race Condition während der JSP-Kompilierung und betrifft insbesondere case-insensitive Dateisysteme wie Windows. Die Schwachstelle tritt nur auf, wenn die Default-Servlet-Schreibberechtigung aktiviert ist – eine Konfiguration, die standardmäßig deaktiviert ist.

Betroffene Versionen

  • Tomcat 11.0: 11.0.0-M1 bis 11.0.1
  • Tomcat 10.1: 10.1.0-M1 bis 10.1.33
  • Tomcat 9.0: 9.0.0-M1 bis 9.0.97

Die Schwachstelle wird durch eine TOCTOU Race Condition ausgelöst, bei der ein Angreifer während eines kritischen Zeitfensters eine harmlose Datei (z. B. file.jsp) durch eine bösartige Datei (z. B. FILE.JSP) ersetzen kann. Auf case-insensitive Dateisystemen wie Windows werden beide Dateien als identisch behandelt, was den Angriff ermöglicht.

Proof of Concept (PoC):

  1. Der Angreifer lädt zunächst eine harmlose JSP-Datei hoch.
  2. Durch die Race Condition überschreibt er diese Datei mit einer bösartigen JSP-Datei, die z. B. eine Remote Command Execution ausführt.
  3. Beim Zugriff auf die ursprüngliche Datei wird der Schadcode ausgeführt.

Beispiel: Ein Angreifer kann durch eine bösartige JSP-Datei das Programm calc.exe auf einem Windows-Server starten.

Mit einem CVSS-Score von 9.8 (kritisch) stellt diese Schwachstelle ein erhebliches Risiko dar, insbesondere für Server mit unsicheren Konfigurationen. Angreifer könnten vollständige Kontrolle über betroffene Systeme erlangen.

Empfohlene Maßnahmen

  1. Upgrade: Aktualisieren Sie auf die sichere Version:
    • Tomcat 11.0.2
    • Tomcat 10.1.34
    • Tomcat 9.0.98
  2. Konfigurationsprüfung: Deaktivieren Sie Schreibberechtigungen für das Default Servlet.
  3. Sichere Dateiuploads: Verhindern Sie das direkte Hochladen von JSP-Dateien in öffentlich zugängliche Verzeichnisse.
  4. Monitoring: Implementieren Sie Protokollierung und Überwachung, um ungewöhnliche Aktivitäten zu erkennen.

Related Posts

CVE-2024-55884: Out of Bounds Write Schwachstelle in Mullvad VPn

Die Schwachstelle CVE-2024-55884 betrifft den Mullvad VPN-Client in den Versionen 2024.6 (Desktop), 2024.8 (iOS) und 2024.8-beta1 (Android). Sie wurde am 11. Dezember 2024 gemeldet und als kritisch eingestuft. Die Schwachstelle erlaubt die Erschöpfung des Ausnahmebehandlungsstapels (alternate stack), was zu heap-basierten Out-of-Bounds-Schreibzugriffen in der Funktion enable() im Modul exception_logging/unix.rs führen kann.

Read More

CVE-2024-12363: TeamViewer Patch & Asset Management - beliebige Systemdaten löschbar

Am 11. Dezember 2024 wurde eine Sicherheitslücke in TeamViewer Patch & Asset Management für Windows bekannt. Die Schwachstelle ermöglicht es lokal authentifizierten Benutzern, beliebige Dateien auf einem Windows-System zu löschen. Die Lücke benötigt lokal authentifizierte Accounts und ist daher “nur” als hoch eingestuft.

Read More

CVE-2024-45337: Auth Bypass Lücke in Go Crypto Library

Am 11. Dezember 2024 wurde die Sicherheitslücke CVE-2024-45337 in der Go-Bibliothek golang.org/x/crypto bekannt. Die Schwachstelle betrifft Anwendungen und Bibliotheken, die die Funktion ServerConfig.PublicKeyCallback fehlerhaft nutzen, und kann zu einem Autorisierungsbypass führen.

Read More