Java Servlet, JavaServer Pages, Java Expression Language සහ Java WebSocket තාක්ෂණයන්හි විවෘත ක්රියාවක් වන Apache Tomcat හි අවදානමක් (CVE-2020-9484) පිළිබඳ තොරතුරු. විශේෂයෙන් නිර්මාණය කරන ලද ඉල්ලීමක් යැවීමෙන් සේවාදායකයේ කේත ක්රියාත්මක කිරීම ලබා ගැනීමට ගැටළුව ඔබට ඉඩ සලසයි. අවදානම Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 සහ 7.0.104 නිකුතු තුළ ආමන්ත්රණය කර ඇත.
අවදානම සාර්ථකව ප්රයෝජනයට ගැනීමට, ප්රහාරකයාට සේවාදායකයේ ඇති ගොනුවේ අන්තර්ගතය සහ නම පාලනය කිරීමට හැකි විය යුතුය (උදාහරණයක් ලෙස, යෙදුමට ලේඛන හෝ පින්තූර බාගත කිරීමේ හැකියාව තිබේ නම්). මීට අමතරව, ප්රහාරය කළ හැක්කේ FileStore ආචයනය සමඟ PersistenceManager භාවිතා කරන පද්ධති මත පමණි, එහි සැකසුම් තුළ sessionAttributeValueClassNameFilter පරාමිතිය “ශුන්ය” ලෙස සකසා ඇත (පෙරනිමියෙන්, SecurityManager භාවිතා නොකරන්නේ නම්) හෝ දුර්වල පෙරහනක් තෝරාගෙන වස්තුවට ඉඩ දෙයි. deserialization. ප්රහාරකයා විසින් FileStore හි ස්ථානයට සාපේක්ෂව ඔහු පාලනය කරන ගොනුව වෙත යන මාර්ගය ද දැන හෝ අනුමාන කළ යුතුය.
මූලාශ්රය: opennet.ru