Tomcat

Die Schwachstelle betrifft Apache Tomcat und steht im Zusammenhang mit dem Apache JServ Protocol (AJP). Tomcat behandelt eingehende AJP-Verbindungen als vertrauenswürdiger als etwa eine vergleichbare HTTP-Verbindung. In den betroffenen Versionen war ein AJP-Connector standardmäßig aktiviert und lauschte auf allen konfigurierten IP-Adressen, obwohl er nur bei Bedarf eingeschaltet bleiben sollte. Erreicht ein Angreifer diesen Connector, kann er den überhöhten Vertrauensstatus ausnutzen: Er kann beliebige Dateien aus der Web-Anwendung auslesen und vorhandene Dateien als JSP verarbeiten lassen. Erlaubt die Anwendung zusätzlich das Hochladen von Dateien oder kann der Angreifer deren Inhalt anderweitig steuern, lässt sich in Verbindung mit der JSP-Ausführung sogar Schadcode aus der Ferne ausführen. Praktisch relevant ist die Lücke überall dort, wo der AJP-Port für nicht vertrauenswürdige Nutzer erreichbar ist – etwa bei unzureichend abgeschirmten Servern.