Sicherheitswarnung: Drei kritische Schwachstellen in Apache Tomcat

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor drei Sicherheitslücken in Apache Tomcat und Tomcat Native, die es entfernten Angreifern ermöglichen, Sicherheitsmechanismen zu umgehen und sensible Informationen offenzulegen. Das BSI stuft alle drei als kritisch ein – höher als Apache selbst, was auf die weite Verbreitung der Software zurückzuführen sein dürfte.

Besonders relevant ist CVE-2026-24734: Hier prüft Tomcat Native OCSP-Antworten nicht vollständig. OCSP ist ein Protokoll zur Echtzeit-Überprüfung, ob ein digitales Zertifikat noch gültig ist. Durch die Lücke können widerrufene Zertifikate als gültig durchgehen – ein klassischer Vertrauensbruch in der TLS-Kommunikation. Die anderen beiden Lücken (CVE-2025-66614 und CVE-2026-24733) betreffen ebenfalls alle gängigen Tomcat-Versionen von 8.5 bis 11.

Bin ich betroffen? Wer Apache Tomcat oder Tomcat Native betreibt – direkt oder eingebettet in Anwendungsserver wie Wildfly, JBoss oder ähnliche Java-Umgebungen – sollte die eigene Version prüfen. Betroffen sind Tomcat 8.5 bis 8.5.100, 9.0 bis 9.0.112, 10.1 bis 10.1.51 und 11.0 bis 11.0.17, sowie Tomcat Native bis 2.0.11.

Empfehlung: Sofort auf die gepatchten Versionen 9.0.115 / 10.1.52 / 11.0.18 (für CVE-2026-24734) bzw. 9.0.113 / 10.1.50 / 11.0.15 (für die anderen beiden) aktualisieren. Wer Tomcat als Teil einer größeren Plattform nutzt, sollte beim Hersteller nach einem Update anfragen.

Quelle: BSI-Warnung / computerweekly.de

Related Posts

Medizintechnik-Konzern Stryker: Iranische Gruppe löscht 200.000 Geräte über Intune

Am 11. März 2026 wurde der US-amerikanische Medizintechnikkonzern Stryker Opfer eines gezielten Cyberangriffs, der erhebliche Störungen in der weltweiten Microsoft-Umgebung des Unternehmens verursachte. Betroffen waren Auftragsverarbeitung, Fertigung und Logistik – in Irland, dem größten Standort außerhalb der USA, wurden Mitarbeitende nach Hause geschickt. Die Hackergruppe Handala beansprucht die Tat für sich und gibt an, über 200.000 Geräte gelöscht und 50 TB Daten gestohlen zu haben.

Read More

Kritische ImageMagick-LĂĽcke mit bekanntem Exploit

Am 23. Februar 2026 wurde CVE-2026-23876 veröffentlicht, eine Heap-Buffer-Overflow-Schwachstelle in ImageMagick, die mit CVSS 8.1 als hochgefährlich eingestuft wird. Besonders brisant: Ein funktionsfähiger Proof-of-Concept ist bereits öffentlich verfügbar, was die Angriffsschwelle erheblich senkt und schnelles Handeln notwendig macht.

Read More

Kritische Sicherheitslücke im WordPress-Plugin „Drag and Drop Multiple File Upload – Contact Form 7"

Wer auf seiner WordPress-Seite das Plugin Drag and Drop Multiple File Upload – Contact Form 7 in Version 1.3.9.5 oder älter einsetzt, sollte umgehend handeln. Die am 5. März 2026 veröffentlichte Schwachstelle (CVE-2026-3459) erlaubt es völlig unbekannten, nicht eingeloggten Angreifern, beliebige Dateien auf den Webserver hochzuladen – ohne jegliche Authentifizierung. Im schlimmsten Fall kann darüber schadhafter Code direkt auf dem Server ausgeführt werden, was eine vollständige Kompromittierung der Website bedeutet. Der CVSS-Score liegt bei 8.1 (Hoch).

Read More