VertiGIS nutzt diese Seite, um zentrale Informationen über folgende Sicherheitslücken in Apache Tomcat 9 und ihre Auswirkungen auf Produkte der UT for ArcGIS-Produktfamilie bereitzustellen.
-
CVE-2025-24813: Apache Tomcat: Potential RCE and/or information disclosure and/or information corruption with partial PUT
Die Schwachstelle betrifft Tomcat 9 bis Version 9.0.98
Dieser Artikel wird aktualisiert, sobald neue Informationen verfügbar sind.
Weiterführende Informationen
In Produkten im Kontext UT for ArcGIS, die Tomcat 9 einsetzen, sind die Bedingungen für die Anfälligkeit der Schwachstelle normalerweise nicht gegeben. Dies sollte ggf. aber geprüft werden.
If all of the following were true, a malicious user was able to view security
sensitive files and/or inject content into those files: - writes enabled for the default servlet (disabled by default) - support for partial PUT (enabled by default) - a target URL for security sensitive uploads that was a sub-directory of a
target URL for public uploads - attacker knowledge of the names of security sensitive files being uploaded - the security sensitive files also being uploaded via partial PUT If all of the following were true, a malicious user was able to perform remote
code execution: - writes enabled for the default servlet (disabled by default) - support for partial PUT (enabled by default) - application was using Tomcat's file based session persistence with the
default storage location - application included a library that may be leveraged in a deserialization
attack
Quelle: https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq
Der Einsatz aktueller Versionen von Tomcat 9 ist prinzipiell möglich. Als Systemvoraussetzung wird in der Regel nur Tomcat 9 bzw. eine Mindestversion, mit der getestet wurde genannt. Explizite Tests mit neuen Tomcat-Versionen für bereits freigegebene Versionen unserer Produkte erfolgen nicht. Sofern Probleme bekannt werden, schauen wir uns das an und versuchen zeitnah Lösungen bereitzustellen.
Der Einsatz von Tomcat 10 oder Tomcat 11 ist nicht möglich.
Relevante Produkte
-
UT Bauauskunft
Uns sind aktuell keine Probleme beim Einsatz von Tomcat 9.0.99 oder höher bekannt. -
WMPS
Uns sind aktuell keine Probleme beim Einsatz von Tomcat 9.0.99 oder höher bekannt. -
UT AppConnector
Beim Einsatz von Tomcat 9 mit Versionsnummer 9.0.88 oder höher muss UT Desktop Suite mit Build 6807 oder höher eingesetzt werden, wenn über eine sichere Verbindung (wss://) kommuniziert werden soll. Uns sind aktuell keine weiteren Probleme beim Einsatz von Tomcat 9.0.99 oder höher bekannt. -
UT Integrator
Uns sind aktuell keine Probleme beim Einsatz von Tomcat 9.0.99 oder höher bekannt. -
UTJSC
Bei Einsatz von Tomcat 9 mit Versionsnummer 9.0.88 muss UTJSC_4.2.2397.Patch2 mit installiert werden. Der Patch ist über das Kundenportal von Baral verfügbar oder kann über das Transferportal bereitgestellt werden. Uns sind aktuell keine weiteren Probleme beim Einsatz von Tomcat 9.0.99 oder höher bekannt.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.