Fampahalalana momba ny vulnerability (CVE-2020-9484) ao amin'ny Apache Tomcat, fampiharana loharano misokatra amin'ny Java Servlet, JavaServer Pages, Java Expression Language ary Java WebSocket teknolojia. Ny olana dia ahafahanao manatratra ny famonoana kaody amin'ny mpizara amin'ny alΓ lan'ny fandefasana fangatahana natao manokana. Noresahina tao amin'ny Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 ary 7.0.104 ny vulnerability.
Mba hahomby amin'ny fitrandrahana ny vulnerability, ny mpanafika dia tsy maintsy afaka mifehy ny atiny sy ny anaran'ny rakitra ao amin'ny server (ohatra, raha manana fahafahana misintona antontan-taratasy na sary ny fampiharana). Ankoatr'izay, ny fanafihana dia tsy azo atao afa-tsy amin'ny rafitra mampiasa PersistenceManager miaraka amin'ny fitehirizana FileStore, ao amin'ny toe-javatra misy ny sessionAttributeValueClassNameFilter parameter dia napetraka ho "null" (amin'ny alΓ lan'ny default, raha tsy ampiasaina ny SecurityManager) na sivana malemy no voafantina izay mamela zavatra. deserialization. Ny mpanafika dia tsy maintsy mahafantatra na maminavina ny lalana mankany amin'ny rakitra feheziny, mifandraika amin'ny toerana misy ny FileStore.
Source: opennet.ru