Java Servlet, JavaServer Pages, Java Expression Language மற்றும் Java WebSocket தொழில்நுட்பங்களின் திறந்த செயலாக்கமான Apache Tomcat இல் பாதிப்பு (CVE-2020-9484) பற்றிய தகவல். சிறப்பாக வடிவமைக்கப்பட்ட கோரிக்கையை அனுப்புவதன் மூலம் சேவையகத்தில் குறியீடு செயல்படுத்தலை அடைய சிக்கல் உங்களை அனுமதிக்கிறது. Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 மற்றும் 7.0.104 வெளியீடுகளில் பாதிப்பு தீர்க்கப்பட்டுள்ளது.
பாதிப்பை வெற்றிகரமாகப் பயன்படுத்த, தாக்குபவர் சர்வரில் உள்ள கோப்பின் உள்ளடக்கம் மற்றும் பெயரைக் கட்டுப்படுத்த முடியும் (உதாரணமாக, பயன்பாட்டிற்கு ஆவணங்கள் அல்லது படங்களைப் பதிவிறக்கும் திறன் இருந்தால்). கூடுதலாக, FileStore சேமிப்பகத்துடன் PersistenceManager ஐப் பயன்படுத்தும் அமைப்புகளில் மட்டுமே தாக்குதல் சாத்தியமாகும், இதன் அமைப்புகளில் sessionAttributeValueClassNameFilter அளவுரு “பூஜ்ய” என அமைக்கப்பட்டுள்ளது (இயல்புநிலையாக, SecurityManager ஐப் பயன்படுத்தவில்லை என்றால்) அல்லது ஒரு பலவீனமான வடிகட்டி தேர்ந்தெடுக்கப்பட்டால், ஆப்ஜெக்ட்டை அனுமதிக்கும் சீரழிவு. ஃபைல்ஸ்டோரின் இருப்பிடத்துடன் தொடர்புடைய, தாக்குபவர் அவர் கட்டுப்படுத்தும் கோப்பிற்கான பாதையையும் அறிந்திருக்க வேண்டும் அல்லது யூகிக்க வேண்டும்.
ஆதாரம்: opennet.ru