ಅಪಾಚೆ ಟಾಮ್ಕ್ಯಾಟ್ನಲ್ಲಿ ದುರ್ಬಲತೆಯ (CVE-2020-9484) ಮಾಹಿತಿ, ಜಾವಾ ಸರ್ವ್ಲೆಟ್, ಜಾವಾಸರ್ವರ್ ಪುಟಗಳು, ಜಾವಾ ಎಕ್ಸ್ಪ್ರೆಶನ್ ಲಾಂಗ್ವೇಜ್ ಮತ್ತು ಜಾವಾ ವೆಬ್ಸಾಕೆಟ್ ತಂತ್ರಜ್ಞಾನಗಳ ಮುಕ್ತ ಮೂಲ ಅನುಷ್ಠಾನ. ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಸರ್ವರ್ನಲ್ಲಿ ಕೋಡ್ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಸಾಧಿಸಲು ಸಮಸ್ಯೆ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಅಪಾಚೆ ಟಾಮ್ಕ್ಯಾಟ್ 10.0.0-M5, 9.0.35, 8.5.55 ಮತ್ತು 7.0.104 ಬಿಡುಗಡೆಗಳಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ತಿಳಿಸಲಾಗಿದೆ.
ದುರ್ಬಲತೆಯನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಬಳಸಿಕೊಳ್ಳಲು, ದಾಳಿಕೋರರು ಸರ್ವರ್ನಲ್ಲಿನ ಫೈಲ್ನ ವಿಷಯ ಮತ್ತು ಹೆಸರನ್ನು ನಿಯಂತ್ರಿಸಲು ಶಕ್ತರಾಗಿರಬೇಕು (ಉದಾಹರಣೆಗೆ, ಅಪ್ಲಿಕೇಶನ್ ಡಾಕ್ಯುಮೆಂಟ್ಗಳು ಅಥವಾ ಚಿತ್ರಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿದ್ದರೆ). ಹೆಚ್ಚುವರಿಯಾಗಿ, ಫೈಲ್ಸ್ಟೋರ್ ಸಂಗ್ರಹಣೆಯೊಂದಿಗೆ PersistenceManager ಅನ್ನು ಬಳಸುವ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಮಾತ್ರ ದಾಳಿ ಸಾಧ್ಯ, ಅದರ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ sessionAttributeValueClassNameFilter ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು "ಶೂನ್ಯ" ಗೆ ಹೊಂದಿಸಲಾಗಿದೆ (ಡೀಫಾಲ್ಟ್ ಆಗಿ, ಸೆಕ್ಯುರಿಟಿ ಮ್ಯಾನೇಜರ್ ಅನ್ನು ಬಳಸದಿದ್ದರೆ) ಅಥವಾ ವಸ್ತುವನ್ನು ಅನುಮತಿಸುವ ದುರ್ಬಲ ಫಿಲ್ಟರ್ ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಲಾಗಿದೆ ಡಿಸೈಲೈಸೇಶನ್. ಫೈಲ್ಸ್ಟೋರ್ನ ಸ್ಥಳಕ್ಕೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಆಕ್ರಮಣಕಾರನು ತಾನು ನಿಯಂತ್ರಿಸುವ ಫೈಲ್ಗೆ ಮಾರ್ಗವನ್ನು ತಿಳಿದಿರಬೇಕು ಅಥವಾ ಊಹಿಸಬೇಕು.
ಮೂಲ: opennet.ru