Apache Tomcat sérülékenységek

CH azonosító

CH-14470

Angol cím

Apache Tomcat Vulnerabilities

Felfedezés dátuma

2018.07.23.

Súlyosság

Magas

Érintett rendszerek

Apache Software Foundation
Tomcat

Érintett verziók

Apache Tomcat 7.x
Apache Tomcat 8.x
Apache Tomcat 9.x

Összefoglaló

Az Apache Tomcat két magas kockázati besorolású sérülékenységét jelentették, amelyeket kihasználva a nem hitelesített, távoli támadók bizalmas információkat szerezhetnek, illetve szolgáltatás megtagadást (DoS) idézhetnek elő.

Leírás

  • A non-blocking I/O (NIO) és NIO2 kapcsolatok létrehozásakor a nem megfelelő paraméterkezelés hibáját ki lehet használni speciálisan megszerkesztett input-ok átadásával, aminek következtében a támadó olyan információkat szerezhet, amivel újra fel tudja használni a felhasználó munkamenetét (session), és ezt további támadásokra használhatja.
  • Az UTF-8 dekódoló komponens nem megfelelően dolgozza fel a felhasználó által átadott bemeneti adatokban lévő kiegészítő karaktereket. Ezt kihasználva a támadó küldhet olyan üzenetet, amellyel végtelen ciklust idéz elő, ami szolgáltatás megtagadásos állapotba juttatja a rendszert.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége
CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége
CVE-2025-3102 – SureTriggers sérülékenysége
CVE-2025-24859 – Apache Roller sebezhetősége
Tovább a sérülékenységekhez »