Java Servlet၊ JavaServer Pages၊ Java Expression Language နှင့် Java WebSocket နည်းပညာများကို ဖွင့်ထားသည့် Apache Tomcat ရှိ အားနည်းချက်တစ်ခုအကြောင်း အချက်အလက် (CVE-2020-9484)။ ပြဿနာက သင့်အား အထူးဒီဇိုင်းထုတ်ထားသော တောင်းဆိုချက်ကို ပေးပို့ခြင်းဖြင့် ဆာဗာပေါ်တွင် ကုဒ်လုပ်ဆောင်မှုကို အောင်မြင်နိုင်စေပါသည်။ အားနည်းချက်ကို Apache Tomcat 10.0.0-M5၊ 9.0.35၊ 8.5.55 နှင့် 7.0.104 ဖြန့်ချိမှုများတွင် ဖြေရှင်းထားသည်။
အားနည်းချက်ကို အောင်မြင်စွာ အသုံးချနိုင်ရန်၊ တိုက်ခိုက်သူသည် ဆာဗာပေါ်ရှိ ဖိုင်၏ အကြောင်းအရာနှင့် အမည်ကို ထိန်းချုပ်နိုင်ရမည် (ဥပမာ၊ အပလီကေးရှင်းတွင် စာရွက်စာတမ်းများ သို့မဟုတ် ပုံများကို ဒေါင်းလုဒ်လုပ်နိုင်ပါက)။ ထို့အပြင်၊ တိုက်ခိုက်မှုသည် FileStore သိုလှောင်မှုနှင့်အတူ PersistenceManager ကိုအသုံးပြုသည့်စနစ်များတွင်သာဖြစ်နိုင်သည်၊ ၎င်း၏ဆက်တင်များတွင် sessionAttributeValueClassNameFilter parameter ကို "null" ဟုသတ်မှတ်ထားသည် (ပုံမှန်အားဖြင့် SecurityManager ကိုအသုံးမပြုပါက) သို့မဟုတ်အရာဝတ္ထုကိုခွင့်ပြုသည့်အားနည်းသော filter ကိုရွေးချယ်ထားသည်။ deserialization။ တိုက်ခိုက်သူသည် FileStore ၏တည်နေရာနှင့်စပ်လျဉ်းပြီး သူထိန်းချုပ်ထားသောဖိုင်ဆီသို့ လမ်းကြောင်းကိုလည်း သိနိုင် သို့မဟုတ် ခန့်မှန်းရမည်ဖြစ်သည်။
source: opennet.ru