События

В Apache Tomcat исправлена критическая уязвимость

В Apache Tomcat исправлено несколько уязвимостей, в том числе проблема, позволявшая удаленному злоумышленнику выполнить произвольный код.

Данная уязвимость, получившая идентификатор CVE-2017-12617, затрагивает версии Apache Tomcat 9.x, 8.5.x, 8.0.x и 7.0.x. Проблема исправлена в выпусках 9.0.1, 8.5.23, 8.0.47 и 7.0.82. Уязвимости подвержены системы, в которых включен метод HTTP PUT. Проэксплуатировав уязвимость, злоумышленник может удаленно выполнить произвольный код, загрузив вредоносный JSP-файл на целевой сервер с помощью специально сформированного запроса. Рабочий PoC-эксплоит опубликован в открытом доступе.

Хотя уязвимость выглядит довольно серьезной, она затрагивает только системы, на которых установлен сервлет с по умолчанию отключенным режимом readonly.

«Поскольку данная функция, как правило, не нужна, большинство систем с открытым исходным кодом не отключают режим readonly», - пояснил исследователь безопасности Петер Штекли (Peter Stöckli) из компании Alphabot Security.

Данная уязвимость практически аналогична CVE-2017-12615, которую разработчики Apache Tomcat исправили 19 сентября текущего года с выпуском версии 7.0.81.

Также разработчики исправили уязвимость CVE-2017-12616, позволявшую злоумышленнику обойти ограничения безопасности и просмотреть исходный код JSP с помощью специально сформированного запроса.

Компании Apple и Cisco также выпустили патчи, исправляющие ряд уязвимостей в своих продуктах. В частности, были исправлены несколько уязвимостей в iOS, позволявшие удаленному атакующему получить контроль над целевой системой. Cisco устранила несколько DoS-уязвимостей в продуктах Adaptive Security Appliance и Firepower Detection Engine.

Apache Tomcat - контейнер сервлетов с открытым исходным кодом, разрабатываемый Apache Software Foundation. Реализует спецификацию сервлетов и спецификацию JavaServer Pages (JSP) и JavaServer Faces (JSF). Написан на языке Java. Tomcat позволяет запускать web-приложения, содержит ряд программ для самоконфигурирования. Считается одним из наиболее используемых ПО в данной сфере.

Источник

Автор: Сергей Куприянов
5.10.2017 (14:39)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.