Apache Tomcat sérülékenységek

CH azonosító

CH-13732

Angol cím

Apache Tomcat vulnerabilities

Felfedezés dátuma

2016.11.22.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
Tomcat

Érintett verziók

6.0.0-tól 6.0.47-ig, 7.0.0-tól 7.0.72-ig, 8.0.0.RC1-tól 8.0.38-ig, 8.5.0-tól 8.5.6-ig, 9.0.0.M1-tól 9.0.0.M11-ig

Összefoglaló

Az Apache Tomcat több közepes kockázati besorolású sérülékenysége vált ismertté, amelyek tetszőleges parancs futtatását és DoS támadást tesznek lehetővé.

Leírás

A támadó egy speciális URL segítségével támadja a kiszolgálót, amire az hibás választ ad. Ezt kihasználva a támadó megváltoztatja a megjelenő tartalmat, így károsítja a gyorsítótárakat vagy indít tetszőlegesen futtatható parancsokat.
A támadó speciális adatcsomagot küldve a JMX portra hibát okoz a JmxRemoteLifecycleListener-ben és ezáltal tetszőleges kódot futtathat a célpont rendszerén, a szolgáltatás jogosultsági szintjén.
A támadó által egy speciálisan elkészített HTTP/2 fejléc (header) segítségével végtelen ciklusba kényszeríti a szolgáltatást, és ezáltal szolgáltatás megtagadásos támadás (DoS) tud indítani távoli kiszolgálók ellen.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Apache Tomcat 9.0.0.M13 verzióra frissítés


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »