В Apache Tomcat исправлена критическая уязвимость
В Apache Tomcat исправлено несколько уязвимостей, в том числе проблема, позволявшая удаленному злоумышленнику выполнить произвольный код.
Данная уязвимость, получившая идентификатор CVE-2017-12617, затрагивает версии Apache Tomcat 9.x, 8.5.x, 8.0.x и 7.0.x. Проблема исправлена в выпусках 9.0.1, 8.5.23, 8.0.47 и 7.0.82. Уязвимости подвержены системы, в которых включен метод HTTP PUT. Проэксплуатировав уязвимость, злоумышленник может удаленно выполнить произвольный код, загрузив вредоносный JSP-файл на целевой сервер с помощью специально сформированного запроса. Рабочий PoC-эксплоит опубликован в открытом доступе.
Хотя уязвимость выглядит довольно серьезной, она затрагивает только системы, на которых установлен сервлет с по умолчанию отключенным режимом readonly.
«Поскольку данная функция, как правило, не нужна, большинство систем с открытым исходным кодом не отключают режим readonly», - пояснил исследователь безопасности Петер Штекли (Peter Stöckli) из компании Alphabot Security.
Данная уязвимость практически аналогична CVE-2017-12615, которую разработчики Apache Tomcat исправили 19 сентября текущего года с выпуском версии 7.0.81.
Также разработчики исправили уязвимость CVE-2017-12616, позволявшую злоумышленнику обойти ограничения безопасности и просмотреть исходный код JSP с помощью специально сформированного запроса.
Компании Apple и Cisco также выпустили патчи, исправляющие ряд уязвимостей в своих продуктах. В частности, были исправлены несколько уязвимостей в iOS, позволявшие удаленному атакующему получить контроль над целевой системой. Cisco устранила несколько DoS-уязвимостей в продуктах Adaptive Security Appliance и Firepower Detection Engine.
Apache Tomcat - контейнер сервлетов с открытым исходным кодом, разрабатываемый Apache Software Foundation. Реализует спецификацию сервлетов и спецификацию JavaServer Pages (JSP) и JavaServer Faces (JSF). Написан на языке Java. Tomcat позволяет запускать web-приложения, содержит ряд программ для самоконфигурирования. Считается одним из наиболее используемых ПО в данной сфере.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
