ʻIke e pili ana i kahi nāwaliwali (CVE-2020-9484) ma Apache Tomcat, kahi hoʻokō wehe o Java Servlet, JavaServer Pages, Java Expression Language a me nā ʻenehana Java WebSocket. Hiki i ka pilikia ke hoʻokō i ka hoʻokō code ma ke kikowaena ma ka hoʻouna ʻana i kahi noi i hoʻolālā ʻia. Ua ʻōlelo ʻia ka nāwaliwali ma Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 a me 7.0.104 hoʻokuʻu.
No ka hoʻohana maikaʻi ʻana i ka nāwaliwali, pono e hiki i ka mea hoʻouka ke hoʻomalu i ka ʻike a me ka inoa o ka faila ma ke kikowaena (no ka laʻana, inā hiki i ka noi ke hoʻoiho i nā palapala a i ʻole nā kiʻi). Eia kekahi, hiki ke hoʻouka wale ʻia ma nā ʻōnaehana e hoʻohana ana i ka PersistenceManager me ka waihona FileStore, i nā hoʻonohonoho o ka sessionAttributeValueClassNameFilter parameter i hoʻonohonoho ʻia i "null" (ma ke ʻano, inā ʻaʻole hoʻohana ʻia ʻo SecurityManager) a i ʻole kahi kānana nāwaliwali i koho ʻia e hiki ai i ka mea. deserialization. Pono e ʻike a koho paha ka mea hoʻouka i ke ala i ka faila āna e hoʻokele ai, pili i kahi o ka FileStore.
Source: opennet.ru