Érintett rendszerek
Apache Software FoundationTomcat JK Web Server Connector
Érintett verziók
Apache Software Foundation Tomcat JK Web Server Connector 1.x
Összefoglaló
Az Apache Tomcat JK Web Server Connector biztonsági problémáját jelentették, amelyet rosszindulatú támadók kihasználhatnak egyes biztonsági korlátozások megkerülésére.
Leírás
Az Apache Tomcat JK Web Server Connector biztonsági problémáját jelentették, amelyet rosszindulatú támadók arra használhattak fel, hogy egyes biztonsági vizsgálatokat megkerüljenek.
A biztonsági problémát a kettős kódolású “..” stringek kezelése okozza az URL-ekben. Ezt kiaknázva egyes biztonsági megszorításokat meg lehet kerülni, így az AJP backend oldalaihoz is lehetséges a hozzáférés.
A biztonsági problémát az 1.2.23. verziót megelőzőekben jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tomcat.apache.org
CVE-2007-1860 - NVD CVE-2007-1860
SECUNIA 24732
Gyártói referencia: tomcat.apache.org
SECUNIA 25383