Apache Tomcat – Critical Remote Code Execution (RCE) vulnerability (CVE-2017-12617)

Η ομάδα του Apache Tomcat έχει πρόσφατα επιδιορθώσει πολλές ευπάθειες ασφάλειας. Μια από αυτές θα μπορούσε να επιτρέψει σε έναν μη εξουσιοδοτημένο εισβολέα να εκτελέσει από απόσταση κακόβουλο κώδικα σε επηρεαζόμενους διακομιστές.

Ο Apache Tomcat, ο οποίος αναπτύχθηκε από το Apache Software Foundation (ASF), είναι ένας διακομιστής web ανοιχτού κώδικα και servlet container, το οποίο χρησιμοποιεί διάφορες προδιαγραφές της Java EE όπως Java Servlet, JavaServer Pages (JSP), Expression Language και WebSocket θεωρείται απο τους πλέον ασφαλείς servers.

Σύμφωνα με τον Peter Stöckli της Alphabot Security

“Tomcat versions before 9.0.1 (Beta), 8.5.23, 8.0.47 and 7.0.82 contain a potentially dangerous remote code execution (RCE) vulnerability on all operating systems if the default servlet is configured with the parameter readonly set to false or the WebDAV servlet is enabled with the parameter readonly set to false,”.

Αυτό το RCE vulnerability, θεωρείτε “important” γιατί σπάνια θα συναντήσεις σερβερ παραγωγικό με τέτοιο στήσιμο επηρεάζει τους Apache Tomcat versions 9.0.0.M1 – 9.0.0, 8.5.0 – 8.5.22, 8.0.0.RC1 – 8.0.46 και 7.0.0 – 7.0.81,

Διορθώθηκε στις εκδόσεις 9.0.1 (Beta), 8.5.23, 8.0.47 και 7.0.82.

Facebook Comments