Apache Tomcat sérülékenységek
Angol cím: 
Apache Tomcat Vulnerabilities
CERT-Hungary ID: 
CH-14470
Felfedezés dátuma: 
2018-07-24
Összefoglaló: 

Az Apache Tomcat két magas kockázati besorolású sérülékenységét jelentették, amelyeket kihasználva a nem hitelesített, távoli támadók bizalmas információkat szerezhetnek, illetve szolgáltatás megtagadást (DoS) idézhetnek elő.

Leírás: 
  • A non-blocking I/O (NIO) és NIO2 kapcsolatok létrehozásakor a nem megfelelő paraméterkezelés hibáját ki lehet használni speciálisan megszerkesztett input-ok átadásával, aminek következtében a támadó olyan információkat szerezhet, amivel újra fel tudja használni a felhasználó munkamenetét (session), és ezt további támadásokra használhatja.
  • Az UTF-8 dekódoló komponens nem megfelelően dolgozza fel a felhasználó által átadott bemeneti adatokban lévő kiegészítő karaktereket. Ezt kihasználva a támadó küldhet olyan üzenetet, amellyel végtelen ciklust idéz elő, ami szolgáltatás megtagadásos állapotba juttatja a rendszert.
Megoldás: 
Frissítsen a legújabb verzióra
Érintett verziók: 
Apache Tomcat 7.x
Apache Tomcat 8.x
Apache Tomcat 9.x