CH azonosító
CH-14237Angol cím
Apache Tomcat vulnerabilitiesFelfedezés dátuma
2017.09.19.Súlyosság
MagasÖsszefoglaló
Az Apache Tomcat egy magas és egy közepes kockázati besorolású sérülékenysége vált ismertté, amelyek a legújabb biztonsági frissítéssel kiküszöbölhetők.
Leírás
Egy nem hitelesített, távoli felhasználó egy speciálisan kialakított HTTP PUT kérést tartalmazó tetszőleges JSP (Java Server Page) fájlt tölthet fel a célrendszerre, amivel lehetősége nyílik tetszőleges kódok futtatására. A kód a célszolgáltatás jogosultságaival fog futni. [CVE-2017-12615]
Egy nem hitelesített támadó egy speciálisan kialakított kéréssel megtekintheti a JSP forráskódját a VirtualDirContext szolgáltatást futtató célrendszereken. Ezáltal potenciálisan érzékeny információkhoz férhet hozzá. [CVE-2017-12616]
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítse a Tomcat-et a 7.0.81-es verzióra.
Támadás típusa
Information disclosure (Információ/adat szivárgás)execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
CVE-2017-12615 - NVD CVE-2017-12615
CVE-2017-12616 - NVD CVE-2017-12616