Apache Tomcat sérülékenységek

CH azonosító

CH-13732

Angol cím

Apache Tomcat vulnerabilities

Felfedezés dátuma

2016.11.22.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
Tomcat

Érintett verziók

6.0.0-tól 6.0.47-ig, 7.0.0-tól 7.0.72-ig, 8.0.0.RC1-tól 8.0.38-ig, 8.5.0-tól 8.5.6-ig, 9.0.0.M1-tól 9.0.0.M11-ig

Összefoglaló

Az Apache Tomcat több közepes kockázati besorolású sérülékenysége vált ismertté, amelyek tetszőleges parancs futtatását és DoS támadást tesznek lehetővé.

Leírás

A támadó egy speciális URL segítségével támadja a kiszolgálót, amire az hibás választ ad. Ezt kihasználva a támadó megváltoztatja a megjelenő tartalmat, így károsítja a gyorsítótárakat vagy indít tetszőlegesen futtatható parancsokat.
A támadó speciális adatcsomagot küldve a JMX portra hibát okoz a JmxRemoteLifecycleListener-ben és ezáltal tetszőleges kódot futtathat a célpont rendszerén, a szolgáltatás jogosultsági szintjén.
A támadó által egy speciálisan elkészített HTTP/2 fejléc (header) segítségével végtelen ciklusba kényszeríti a szolgáltatást, és ezáltal szolgáltatás megtagadásos támadás (DoS) tud indítani távoli kiszolgálók ellen.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Apache Tomcat 9.0.0.M13 verzióra frissítés


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »