Faʻamatalaga e uiga i se faʻafitauli (CVE-2020-9484) i Apache Tomcat, o se faʻatinoga tatala o Java Servlet, JavaServer Pages, Java Expression Language ma Java WebSocket tekinolosi. O le faʻafitauli e mafai ai ona e ausia le faʻatinoina o code i luga o le 'auʻaunaga e ala i le tuʻuina atu o se talosaga faʻapitoa. O le faʻafitauli na faʻaalia i Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 ma 7.0.104 faʻasalalauga.
Ina ia manuia le faʻaogaina o le faʻafitauli, e tatau i le tagata osofaʻi ona mafai ona pulea le anotusi ma le igoa o le faila i luga o le 'auʻaunaga (mo se faʻataʻitaʻiga, pe afai o le talosaga e iai le gafatia e sii mai ai pepa poʻo ata). E le gata i lea, e naʻo le osofaʻiga e mafai i luga o faiga e faʻaaoga ai PersistenceManager ma le teuina o le FileStore, i le faʻatulagaina o le sessionAttributeValueClassNameFilter parameter ua setiina i le "null" (e ala i le faaletonu, pe a le faʻaogaina le SecurityManager) poʻo se faamama vaivai e filifilia e mafai ai mea. deserialization. E tatau foi i le tagata osofaʻi ona iloa pe mate le ala i le faila na te pulea, faʻatatau i le nofoaga o le FileStore.
puna: opennet.ru