Agahdarî li ser xisariyek (CVE-2020-9484) li Apache Tomcat, pêkanîna vekirî ya Java Servlet, Rûpelên JavaServer, Zimanê Java-ê û Java WebSocket. Pirsgirêk dihêle hûn bi şandina daxwazek taybetî ya sêwirandî bigihîjin darvekirina kodê li ser serverê. Zehfbûn di berdanên Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 û 7.0.104 de hatî çareser kirin.
Ji bo ku bi serfirazî qelsiyê bikar bîne, divê êrîşkar bikaribe naverok û navê pelê li ser serverê kontrol bike (mînakek, heke serîlêdan xwedî kapasîteya dakêşana belgeyan an wêneyan be). Wekî din, êrîş tenê li ser pergalên ku PersistenceManager bi hilanîna FileStore-ê bikar tînin, mimkun e, di mîhengên wan de parametreya sessionAttributeValueClassNameFilter wekî "null" tê danîn (bi xwerû, ger SecurityManager neyê bikar anîn) an parzûnek qels ku destûrê dide objektê tê hilbijartin. deserialization. Her weha divê êrîşkar riya pelê ku ew kontrol dike, li gorî cîhê FileStore-yê bizanibe an texmîn bike.
Source: opennet.ru