Exploit legt Apache Tomcat servers plat
De kwetsbaarheid werd aangetoond door IT-beveiligingsonderzoekers van Trustwave met een proof-of-concept. Het lek zit in de Apache Common FileUpload, een bibliotheek voor ontwikkelaars om aan hun Java-gebaseerde toepassingen mogelijkheden te koppelen om bestanden te zenden naar de webserver.
Shutterstock
Shutterstock
Het gereedschap biedt de mogelijkheid meer dan één verzoek tegelijk te versturen, zogeheten mime-multipart requests. De verschillende verzoeken zijn in de body van het verzoek gescheiden door een tekststring die encapsulation boundary wordt genoemd. Wanneer deze boundary langer is dan 4091 tekens raakt de Apache Tomcat-server in een oneindige loop, waarin steeds meer CPU-capaciteit wordt opgeslokt tot de server vastloopt.
De kwetsbaarheid komt voor in de versie 7 en 8 van de Tomcat-server. De Apache Tomcatserver is een populaire opensource webserver die vooral wordt ingezet bij websites veel verkeer genereren en veel gebruik maken van Java-toepassingen.
Verkeerd geadresseerde e-mail
De kwetsbaarheid werd op 7 februari gemeld bij de Apache Software Foundation (ASF). Per ongeluk werd de informatie echter al twee dagen later openbaar als gevolg van een verkeerd geadresseerde e-mail. Daardoor zag ASF zich gedwongen onmiddellijk een beveiligingsbulletin uit te geven, ook al was er geen patch beschikbaar.
Inmiddels is er een fix beschikbaar in de vorm van Commons FileUpload versie 1.3.1. De bestanden van de bètaversie van Tomcat 8.0.3 zijn inmiddels voorzien van de nieuwe versie van Commons FileUpload. De aangepaste software zit straks ook standaard in de versie 7.0.51, maar het is nog niet duidelijk wanneer deze beschikbaar komt.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee