Eolas faoi leochaileacht (CVE-2020-9484) in Apache Tomcat, feidhmiú foinse oscailte de Java Servlet, Leathanaigh JavaServer, Java Expression Language agus teicneolaíochtaí Java WebSocket. Ligeann an fhadhb duit forghníomhú cód a bhaint amach ar an bhfreastalaí trí iarratas deartha go speisialta a sheoladh. Tugadh aghaidh ar an leochaileacht i scaoileadh Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 agus 7.0.104.
Chun an leochaileacht a shaothrú go rathúil, ní mór don ionsaitheoir a bheith in ann ábhar agus ainm an chomhaid ar an bhfreastalaí a rialú (mar shampla, má tá an cumas ag an bhfeidhmchlár doiciméid nó íomhánna a íoslódáil). Ina theannta sin, ní féidir an t-ionsaí a dhéanamh ach amháin ar chórais a úsáideann PersistenceManager le stóráil FileStore, sna socruithe ina bhfuil an paraiméadar sessionAttributeValueClassNameFilter socraithe go “null” (de réir réamhshocraithe, mura n-úsáidtear SecurityManager) nó roghnaítear scagaire lag a cheadaíonn an réad díscriosú. Ní mór don ionsaitheoir an cosán chuig an gcomhad a rialaíonn sé a fhios nó a thomhas, i gcoibhneas le suíomh an Stór Comhaid.
Foinse: oscailtenet.ru