Alaye nipa ailagbara kan (CVE-2020-9484) ni Apache Tomcat, imuse orisun ṣiṣi ti Java Servlet, Awọn oju-iwe JavaServer, Ede Ikosile Java ati awọn imọ-ẹrọ WebSocket Java. Iṣoro naa gba ọ laaye lati ṣaṣeyọri ipaniyan koodu lori olupin nipasẹ fifiranṣẹ ibeere ti a ṣe apẹrẹ pataki kan. A ti koju ailagbara naa ni Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 ati 7.0.104 awọn idasilẹ.
Lati ṣaṣeyọri ailagbara naa, ikọlu gbọdọ ni anfani lati ṣakoso akoonu ati orukọ faili lori olupin (fun apẹẹrẹ, ti ohun elo naa ba ni agbara lati ṣe igbasilẹ awọn iwe aṣẹ tabi awọn aworan). Ni afikun, ikọlu naa ṣee ṣe nikan lori awọn eto ti o lo PersistenceManager pẹlu ibi ipamọ FileStore, ninu awọn eto eyiti a ṣeto paramita sessionAttributeValueClassNameFilter si “asan” (nipasẹ aiyipada, ti ko ba lo SecurityManager) tabi ti yan àlẹmọ alailagbara ti o gba ohun laaye laaye. deserialization. Olukọni naa gbọdọ tun mọ tabi gboju ọna si faili ti o ṣakoso, ni ibatan si ipo ti FileStore.
orisun: opennet.ru