MÜNCHEN (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke in Apache Tomcat wird bereits aktiv ausgenutzt, nur 30 Stunden nach der öffentlichen Bekanntgabe.

 Heutige Tagesdeals bei Amazon!  ˗ˋˏ$ˎˊ˗

Eine kürzlich entdeckte Sicherheitslücke in Apache Tomcat wird bereits aktiv ausgenutzt, nur 30 Stunden nach der öffentlichen Bekanntgabe und der Veröffentlichung eines Proof-of-Concepts. Die Schwachstelle, die als CVE-2025-24813 verfolgt wird, betrifft mehrere Versionen von Apache Tomcat, darunter die Versionen 11.0.0-M1 bis 11.0.2, 10.1.0-M1 bis 10.1.34 und 9.0.0-M1 bis 9.0.98.

Die Sicherheitslücke ermöglicht unter bestimmten Bedingungen eine Remote-Code-Ausführung oder Informationsoffenlegung. Dazu gehören aktivierte Schreibrechte für das Standard-Servlet, die Unterstützung für partielle PUT-Anfragen und das Wissen des Angreifers über die Namen sicherheitsrelevanter Dateien, die hochgeladen werden. Erfolgreiche Angriffe könnten es einem böswilligen Benutzer ermöglichen, sicherheitsrelevante Dateien einzusehen oder beliebige Inhalte in diese Dateien einzufügen.

Stellenangebote

Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
IU Internationale Hochschule
Augsburg
Webentwickler für moderne KI-Anwendungen (m/w/d)
Würth IT GmbH
Künzelsau-Gaisbach bei Heilbronn, Berlin
Werkstudentin (m/w/d) im AI-Powered Grid Analysis Product
50Hertz Transmission GmbH
Berlin
IT Consultant (m/w/d) KI / AI / Data Science
Ludwig Erhardt Nachfolger GmbH & Co. KG
Karlsruhe
AI Product Manager (m/w/d)
XXXLdigital - Part of XXXL Group
Berlin
Alle KI-Jobs ansehen

Besonders besorgniserregend ist die Möglichkeit der Remote-Code-Ausführung, wenn Tomcats dateibasierte Sitzungsbeständigkeit mit dem Standardspeicherort verwendet wird und eine Bibliothek enthalten ist, die in einem Deserialisierungsangriff genutzt werden kann. Die Projektbetreuer haben die Schwachstelle in den Tomcat-Versionen 9.0.99, 10.1.35 und 11.0.3 behoben.

Dennoch gibt es bereits Berichte über Ausnutzungsversuche in der freien Wildbahn. Ein Sicherheitsunternehmen berichtete, dass der Angriff Tomcats Standard-Sitzungsbeständigkeitsmechanismus zusammen mit der Unterstützung für partielle PUT-Anfragen ausnutzt. Der Exploit funktioniert in zwei Schritten: Der Angreifer lädt eine serialisierte Java-Sitzungsdatei über eine PUT-Anfrage hoch und löst die Deserialisierung aus, indem er die bösartige Sitzungs-ID in einer GET-Anfrage referenziert.

Diese Angriffe beinhalten das Senden einer PUT-Anfrage mit einer Base64-codierten serialisierten Java-Nutzlast, die in Tomcats Sitzungspeicherverzeichnis geschrieben wird. Diese wird dann während der Deserialisierung durch das Senden einer GET-Anfrage mit der JSESSIONID, die auf die bösartige Sitzung zeigt, ausgeführt. Das Unternehmen betonte, dass die Schwachstelle trivial auszunutzen ist und keine Authentifizierung erfordert.

Die größere Problematik liegt in der Handhabung von partiellen PUT-Anfragen in Tomcat, die das Hochladen praktisch jeder Datei an beliebigen Orten ermöglichen. Es wird erwartet, dass Angreifer bald ihre Taktiken ändern und bösartige JSP-Dateien hochladen, Konfigurationen ändern und Hintertüren außerhalb des Sitzungspeichers platzieren werden.

Benutzern, die betroffene Versionen von Tomcat verwenden, wird dringend empfohlen, ihre Instanzen so schnell wie möglich zu aktualisieren, um potenzielle Bedrohungen zu mindern.

*Amazon-Kreditkarte ohne Jahresgebühr mit 2.000 Euro Verfügungsrahmen bestellen! a‿z

🤖 Alle KI-Gadgets auf Amazon ansehen!


Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»
Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie
Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie
30,99 EUR Amazon Prime
Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»
Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder
Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder
169,99 EUR Amazon Prime
Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»
Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen
Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen
152,91 EUR Amazon Prime
Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»
KI-Sprachrekorder, Plaud NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau
KI-Sprachrekorder, Plaud NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau
152,91 EUR Amazon Prime
Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»
SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)
SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)
89,99 EUR Amazon Prime

Hat Ihnen der Artikel bzw. die News - Sicherheitslücke in Apache Tomcat: Schnelle Ausnutzung nach Veröffentlichung - gefallen? Dann abonnieren Sie uns doch auf Insta: AI News, Tech Trends & Robotics - Instagram - Boltwise

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Sicherheitslücke in Apache Tomcat: Schnelle Ausnutzung nach Veröffentlichung
Sicherheitslücke in Apache Tomcat: Schnelle Ausnutzung nach Veröffentlichung (Foto: DALL-E, IT BOLTWISE)

Stellenangebote

Doktorand:in – KI-gestützte Integration heterogener Forschungsdaten in Energiesystemmodelle (w/m/d)

Forschungszentrum Jülich GmbH
Jülich bei Köln

Werkstudent (m/w/d) Generative KI

Funk - Internationaler Versicherungsmakler und Risk Consultant
Hamburg

Lehrer IT-Programmierung (m/w/d) für Algorithmen, Webprogrammierung und KI

Farning GmbH
Düsseldorf

Junior Business Operations Manager - AI & Prozesse (m/w/d)“

Studio Tools GmbH
Weil am Rhein

Senior Spezialist für die KI-Infrastruktur (w/m/d)

NRW.BANK
Düsseldorf

Abschlussarbeit im Bereich Datenstrategie und Künstliche Intelligenz

Senacor Technologies AG
Berlin, Bonn, Frankfurt, Hamburg, München, Nürnberg, Wien
Alle KI-Jobs ansehen
Folgen Sie aktuellen Beiträge über KI & Robotik auf Twitter, Telegram, Facebook oder LinkedIn!
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.

Diesen Artikel kommentieren


Ähnliche Beiträge aus unserem „Boltwise®“-Archiv:
  1. ProSiebenSat.1 Media SE: Kursrückgang und zukünftige Prognosen MÜNCHEN / LONDON (IT BOLTWISE) – Die Aktie der ProSiebenSat.1 Media SE verzeichnete in der jüngsten XETRA-Sitzung einen Rückgang von 1,8 Prozent. Trotz eines Tageshochs von 8,13 EUR fiel der Kurs auf ein Tagestief von...
  2. Porsche Automobil vz: Kursrückgang und zukünftige Aussichten STUTTGART / LONDON (IT BOLTWISE) – Die Porsche Automobil vz-Aktie verzeichnete im XETRA-Handel einen Rückgang von 1,2 Prozent und notiert nun bei 35,68 EUR. Trotz eines 52-Wochen-Hochs von 42,62 EUR im vergangenen Jahr, bleibt die...
  3. Siltronic-Aktie zeigt Erholungspotenzial trotz jüngster Verluste MÜNCHEN / LONDON (IT BOLTWISE) – Die Siltronic-Aktie zeigt sich am Mittwochnachmittag mit einem Plus von 1,6 Prozent auf 34,64 EUR im XETRA-Handel. Trotz der jüngsten Kursverluste und einem 52-Wochen-Tief von 32,00 EUR, das am...
  4. SCHOTT Pharma: Kursgewinne und zukünftige Aussichten FRANKFURT / LONDON (IT BOLTWISE) – Die SCHOTT Pharma-Aktie zeigt im XETRA-Handel eine positive Entwicklung mit einem Anstieg von 0,9 Prozent auf 21,95 EUR. Trotz der jüngsten Kursgewinne bleibt das Papier weit unter seinem 52-Wochen-Hoch...
  5. Siemens Healthineers: Aktienkurs zeigt Aufwärtstrend FRANKFURT / LONDON (IT BOLTWISE) – Die Siemens Healthineers-Aktie verzeichnete zur Mittagszeit einen leichten Anstieg um 0,3 Prozent und erreichte einen Kurs von 46,80 EUR. Analysten prognostizieren für das Jahr 2025 eine Dividende von 1,08...
  6. PUMA SE-Aktie: Kursverluste und Analysteneinschätzungen FRANKFURT / LONDON (IT BOLTWISE) – Die PUMA SE-Aktie erlebte im XETRA-Handel einen Rückgang von 1,8 Prozent und erreichte ein Tagestief von 21,00 EUR. Analysten bewerten die Aktie im Durchschnitt mit 26,26 EUR, während das...
  7. AIXTRON SE: Kursgewinne und zukünftige Perspektiven LONDON (IT BOLTWISE) – Die AIXTRON SE-Aktie zeigt sich am Donnerstagvormittag mit einem leichten Kursgewinn von 0,9 Prozent auf 12,05 EUR. Trotz der aktuellen Erholung liegt der Kurs noch deutlich unter dem 52-Wochen-Hoch von 16,72...

Die nächste Stufe der Evolution: Wenn Mensch und Maschine eins werden | Wie Futurist, Tech-Visionär und Google-Chef-Ingenieur Ray Kurzweil die Zukunft der Künstlichen Intelligenz sieht
Die nächste Stufe der Evolution: Wenn Mensch und Maschine eins werden | Wie Futurist, Tech-Visionär und Google-Chef-Ingenieur Ray Kurzweil die Zukunft der Künstlichen Intelligenz sieht
  • Die nächste Stufe der Evolution
24,00 EUR Amazon Prime
Bei Amazon ansehen
Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
  • Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
24,00 EUR Amazon Prime
Bei Amazon ansehen
KI Exzellenz: Erfolgsfaktoren im Management jenseits des Hypes. Zukunftstechnologien verstehen und künstliche Intelligenz erfolgreich in der Arbeitswelt nutzen. (Haufe Fachbuch)
KI Exzellenz: Erfolgsfaktoren im Management jenseits des Hypes. Zukunftstechnologien verstehen und künstliche Intelligenz erfolgreich in der Arbeitswelt nutzen. (Haufe Fachbuch)
  • Odoi, Tawia(Autor)
29,99 EUR Amazon Prime
Bei Amazon ansehen
Künstliche Intelligenz und Hirnforschung: Neuronale Netze, Deep Learning und die Zukunft der Kognition
Künstliche Intelligenz und Hirnforschung: Neuronale Netze, Deep Learning und die Zukunft der Kognition
  • Krauss, Patrick(Autor)
24,99 EUR Amazon Prime
Bei Amazon ansehen
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Da wir bei KI-erzeugten News und Inhalten selten auftretende KI-Halluzinationen nicht ausschließen können, bitten wir Sie bei Falschangaben und Fehlinformationen uns via eMail zu kontaktieren und zu informieren. Bitte vergessen Sie nicht in der eMail die Artikel-Headline zu nennen: "Sicherheitslücke in Apache Tomcat: Schnelle Ausnutzung nach Veröffentlichung".
Stichwörter Apache Ausführung Code Cybersecurity Exploit Hacker IT-Sicherheit Netzwerksicherheit Remote Sicherheit Tomcat
Alle Märkte in Echtzeit verfolgen - 30 Tage kostenlos testen!
Nächster Artikel

Audi plant umfassende Umstrukturierung zur Effizienzsteigerung

17. März 2025
Vorheriger Artikel

S&P 500 zeigt Erholungstendenzen trotz Jahresverlusten

17. März 2025

Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Sicherheitslücke in Apache Tomcat: Schnelle Ausnutzung nach Veröffentlichung" für unsere Leser?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  • Die aktuellen intelligenten Ringe, intelligenten Brillen, intelligenten Uhren oder KI-Smartphones auf Amazon entdecken! (Sponsored)

    • Es werden alle Kommentare moderiert!

    Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.

    Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.

    Du willst nichts verpassen?

    Du möchtest über ähnliche News und Beiträge wie "Sicherheitslücke in Apache Tomcat: Schnelle Ausnutzung nach Veröffentlichung" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
    Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Sicherheitslücke in Apache Tomcat: Schnelle Ausnutzung nach Veröffentlichung« bei Google Deutschland suchen, bei Bing oder Google News!

    403 Leser gerade online auf IT BOLTWISE®
    KI-Jobs