Published On: 16. März 2020| Categories: Service| 1.2 min read| 232 words|

Sicherheitslücke bei der von uns eingesetzten Software Apache-Tomcat schließen

Wie unter anderem in einem Bericht von heise online letzte Woche bekannt geworden ist, existiert in Apache-Tomcat seit der Ver­sionen 6.0 eine kritische Sicherheitslücke, bezeichnet als „Ghostcat“. Hierbei ist ein Angriff über den sogenannten „AJP Connec­tor Service“ möglich.

Die Lücke kann kurzfristig durch die Vermei­dung unbefugter Zugriffe (z.B. Firewall) auf den AJP Connector Service Port (Default-Port 8009) oder durch komplette Deaktivie­rung des Service geschlossen werden. Dieser Service wird von den InterCard-Produkten nicht verwendet, diese verwenden aus­schließlich den HTTP Connector.

Die Deaktivierung des AJP Connector Ser­vice kann wie folgt vorgenommen werden:

  1. Konfigurationsdatei <CATALINA_BASE>/conf/server.xml öffnen (<CATALINA_BASE> steht stellvertretend für das Tomcat-Verzeichnis). Es wird drin­gend empfohlen zuvor eine Sicherungs­kopie der Konfigu­rationsdatei zu erstellen.
  2. Folgend Zeile auskommentieren oder löschen:
    <Connector port=“8009″ protocol=“AJP/1.3″ redirectPort=“8443″ /> Die Werte für die Ports können von aufge­führtem Beispiel abweichen.
  3. Änderungen in der Datei speichern und den Tomcat neu starten.

 

Apache-Tomcat wird in folgenden InterCard-Produkten verwendet:

  1. smart.ACTIVE
  2. smart.SHOP
  3. smart.TO.GET (Schnittstelle für Validie­rungen)
  4. my.InterCard Payment-Service
  5. Automatenlinien smart.UP, add.UP, smart.BOOK, smart.GET, smart.MOVE, smart.EXPERT und vario.UP

 

Falls Unterstützung für die Deaktivierung des AJP Connector Service erforderlich ist, melden Sie sich bitte bei unserer Hotline (+49 7720 9945-55, ticket@intercard.org).

Neueste Service-News

Zurück zu Service