CH azonosító
CH-14256Angol cím
Apache Tomcat VulnerabilityFelfedezés dátuma
2017.10.03.Súlyosság
MagasÉrintett rendszerek
Apache Software FoundationTomcat
Érintett verziók
Tomcat Java Server 7.0 (.0, .1, .2, .3, .4, .5, .6, .7, .8, .9, .10, .11, .12, .13, .14, .15, .16, .17, .18, .19, .20, .21, .22, .23, .24, .25, .26, .27, .28, .29, .30, .32, .33, .34, .35, .36, .37, .38, .39, .40, .41, .42, .47, .50, .51, .52, .53, .54, .55, .56, .57, .65, .67, .68, .63, .64, .66, .69, .70, .71, .72, .73, .75, .76, .77, .78, .79, .80, .81) | 8.0 (.1, .2, .3, .4, .5, .6, .8, .9, .11, .12, .14, .15, .17, .18, .20, .21, .22, .23, .24, .26, .27, .28, .29, .30, .31, .32, .33, .36, .37, .38, .39, .41, .42, .46, .34, .35) | 8.5 (Base, .0, .1, .2, .3, .4, .5, .6, .7, .8, .9, .10, .11, .12, .22) | 9.0 (.0, .0.M1)
Összefoglaló
Az Apache Tomcat magas kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó tetszőleges kódot futtathat a célrendszeren.
Leírás
A sérülékenység a bemeneti adatok nem megfelelő ellenőrzéséből adódik, melynek segítségével a támadó – egy speciálisan szerkesztett Java Server Page (JSP) felhasználásával – távoli kódfuttatást végezhet az érintett rendszeren.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
execute arbitrary codeHatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tomcat.apache.org
Egyéb referencia: tools.cisco.com
CVE-2017-12617 - NVD CVE-2017-12617