Kwetsbaarheid in Tomcat

[Briolet]

In de Tomcat applicatie zit een kwetsbaarheid waarvoor sinds 12 februari een update bestaat:

De kwetsbaarheid, die al tien jaar in Tomcat aanwezig bleek te zijn en Ghostcat wordt genoemd, bevindt zich in het Tomcat Apache JServ-protocol. Dit is een protocol dat inkomende aanvragen van een webserver kan doorsturen naar een applicatieserver die zich achter de webserver bevindt. Door de kwetsbaarheid kan een aanvaller bestanden in de webapp-directories van Tomcat lezen of toevoegen. Zo is het mogelijk om configuratiebestanden of broncode uit te lezen. Wanneer de webapplicatie een uploadfunctie biedt kan een aanvaller kwaadaardige code op de server uitvoeren.

"Op 12 februari kwam de Apache Software Foundation met beveiligingsupdates, namelijk Apache Tomcat versies 7.0.100, 8.5.51 en 9.0.31.".

Synology heeft bij de 3th-Party apps versie 6 en versie 7 staan. Als dat lek al 10 jaar oud is, mag je ervan uitgaan dat hij ook in versie 6 zit en daarvan is geen nieuwe versie verschenen. Daarnaast is het versienummer van Tomcat 7: "7.0.92-0115" wat doet vermoeden dat dit pakket nog niet op basis van de veilige versie 7.0.100 gemaakt is.