Fiosrachadh mu dheidhinn so-leòntachd (CVE-2020-9484) ann an Apache Tomcat, buileachadh fosgailte de Java Servlet, Duilleagan JavaServer, Java Expression Language agus teicneòlasan Java WebSocket. Leigidh an duilgheadas leat coileanadh còd a choileanadh air an fhrithealaiche le bhith a’ cur iarrtas a chaidh a dhealbhadh gu sònraichte. Chaidh dèiligeadh ris an so-leòntachd ann an fiosan Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 agus 7.0.104.
Gus brath a ghabhail air so-leòntachd gu soirbheachail, feumaidh an neach-ionnsaigh a bhith comasach air smachd a chumail air susbaint agus ainm an fhaidhle air an fhrithealaiche (mar eisimpleir, ma tha comas aig an aplacaid sgrìobhainnean no ìomhaighean a luchdachadh sìos). A bharrachd air an sin, chan eil an ionnsaigh comasach ach air siostaman a chleachdas PersistenceManager le stòradh FileStore, anns na roghainnean far a bheil am paramadair seiseanAttributeValueClassNameFilter air a shuidheachadh gu “null” (gu gnàthach, mura cleachdar SecurityManager) no thèid sìoltachan lag a thaghadh a leigeas le nì dì-sàrachadh. Feumaidh an neach-ionnsaigh cuideachd fios no tomhas a dhèanamh air an t-slighe chun fhaidhle a tha e a’ cumail smachd, an coimeas ri far a bheil an FileStore.
Source: fosgailtenet.ru