Apache Tomcat-en ahultasun bati buruzko informazioa (CVE-2020-9484), Java Servlet, JavaServer Pages, Java Expression Language eta Java WebSocket teknologien inplementazio irekia. Arazoak zerbitzarian kodea exekutatzeko aukera ematen du, bereziki diseinatutako eskaera bat bidaliz. Ahultasuna Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 eta 7.0.104 bertsioetan konpondu da.
Ahultasuna behar bezala ustiatzeko, erasotzaileak zerbitzarian fitxategiaren edukia eta izena kontrolatzeko gai izan behar du (adibidez, aplikazioak dokumentuak edo irudiak deskargatzeko gaitasuna badu). Gainera, erasoa FileStore biltegiratzea duten PersistenceManager erabiltzen duten sistemetan soilik posible da, zeinen ezarpenetan sessionAttributeValueClassNameFilter parametroa "null" gisa ezarrita (lehenespenez, SecurityManager erabiltzen ez bada) edo objektua ahalbidetzen duen iragazki ahula hautatzen da. deserializazioa. Erasotzaileak kontrolatzen duen fitxategirako bidea ere ezagutu edo asmatu behar du, FileStore-ren kokapenari dagokionez.
Iturria: opennet.ru