Apache Tomcat – Critical Remote Code Execution (RCE) vulnerability (CVE-2017-12617)

Η ομάδα του Apache Tomcat έχει πρόσφατα επιδιορθώσει πολλές ευπάθειες ασφάλειας. Μια από αυτές θα μπορούσε να επιτρέψει σε έναν μη εξουσιοδοτημένο εισβολέα να εκτελέσει από απόσταση κακόβουλο κώδικα σε επηρεαζόμενους διακομιστές.

Ο Apache Tomcat, ο οποίος αναπτύχθηκε από το Apache Software Foundation (ASF), είναι ένας διακομιστής web ανοιχτού κώδικα και servlet container, το οποίο χρησιμοποιεί διάφορες προδιαγραφές της Java EE όπως Java Servlet, JavaServer Pages (JSP), Expression Language και WebSocket θεωρείται απο τους πλέον ασφαλείς servers.

Σύμφωνα με τον Peter Stöckli της Alphabot Security

“Tomcat versions before 9.0.1 (Beta), 8.5.23, 8.0.47 and 7.0.82 contain a potentially dangerous remote code execution (RCE) vulnerability on all operating systems if the default servlet is configured with the parameter readonly set to false or the WebDAV servlet is enabled with the parameter readonly set to false,”.

Αυτό το RCE vulnerability, θεωρείτε “important” γιατί σπάνια θα συναντήσεις σερβερ παραγωγικό με τέτοιο στήσιμο επηρεάζει τους Apache Tomcat versions 9.0.0.M1 – 9.0.0, 8.5.0 – 8.5.22, 8.0.0.RC1 – 8.0.46 και 7.0.0 – 7.0.81,

Διορθώθηκε στις εκδόσεις 9.0.1 (Beta), 8.5.23, 8.0.47 και 7.0.82.

Passionate Archer, Runner, Linux lover and JAVA Geek! That's about everything! He has worked for many years as an Software Architect designing and developing enterprize projects, e-banking and high availability portals with extensive experience in the public, european and private sectors. Having speaker in several confrences he never misses opportunities to interact with the OSS community. In his leisure time he either runs or shoots a lot of arrows!