Apache Tomcat sérülékenységek

CH azonosító

CH-14470

Angol cím

Apache Tomcat Vulnerabilities

Felfedezés dátuma

2018.07.23.

Súlyosság

Magas

Érintett rendszerek

Apache Software Foundation
Tomcat

Érintett verziók

Apache Tomcat 7.x
Apache Tomcat 8.x
Apache Tomcat 9.x

Összefoglaló

Az Apache Tomcat két magas kockázati besorolású sérülékenységét jelentették, amelyeket kihasználva a nem hitelesített, távoli támadók bizalmas információkat szerezhetnek, illetve szolgáltatás megtagadást (DoS) idézhetnek elő.

Leírás

  • A non-blocking I/O (NIO) és NIO2 kapcsolatok létrehozásakor a nem megfelelő paraméterkezelés hibáját ki lehet használni speciálisan megszerkesztett input-ok átadásával, aminek következtében a támadó olyan információkat szerezhet, amivel újra fel tudja használni a felhasználó munkamenetét (session), és ezt további támadásokra használhatja.
  • Az UTF-8 dekódoló komponens nem megfelelően dolgozza fel a felhasználó által átadott bemeneti adatokban lévő kiegészítő karaktereket. Ezt kihasználva a támadó küldhet olyan üzenetet, amellyel végtelen ciklust idéz elő, ami szolgáltatás megtagadásos állapotba juttatja a rendszert.

Megoldás

Frissítsen a legújabb verzióra