Ozi gbasara adịghị ike (CVE-2020-9484) na Apache Tomcat, mmejuputa mmeghe nke Java Servlet, ibe JavaServer, asụsụ nkwupụta Java na teknụzụ WebSocket Java. Nsogbu a na-enye gị ohere imezu koodu ogbugbu na ihe nkesa site na izipu arịrịọ ahaziri ahazi. A gwala ihe adịghị ike na Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 na 7.0.104.
Iji jiri nke ọma mee ihe adịghị ike, onye na-awakpo ahụ ga-enwe ike ijikwa ọdịnaya na aha faịlụ na ihe nkesa (dịka ọmụmaatụ, ọ bụrụ na ngwa ahụ nwere ike ibudata akwụkwọ ma ọ bụ onyonyo). Na mgbakwunye, ọgụ a ga-ekwe omume na sistemụ na-eji PersistenceManager nwere nchekwa FileStore, na ntọala nke etinyere paramita sessionAttributeValueClassNameFilter ka ọ bụrụ “null” (na ndabara, ma ọ bụrụ na ejighị SecurityManager) ma ọ bụ họrọ nzacha adịghị ike nke na-enye ohere ihe. deserialization. Onye mwakpo ahụ ga-amarịrị ma ọ bụ chepụta ụzọ nke faịlụ ọ na-achịkwa, dabere na ọnọdụ nke FileStore.
isi: opennet.ru