В Apache Tomcat исправлена критическая уязвимость

В Apache Tomcat исправлена критическая уязвимость

Уязвимость позволяла удаленному злоумышленнику выполнить произвольный код, загрузив вредоносный JSP-файл на целевой сервер.

В Apache Tomcat исправлено несколько уязвимостей, в том числе проблема, позволявшая удаленному злоумышленнику выполнить произвольный код.

Данная уязвимость, получившая идентификатор CVE-2017-12617, затрагивает версии Apache Tomcat 9.x, 8.5.x, 8.0.x и 7.0.x. Проблема исправлена в выпусках 9.0.1, 8.5.23, 8.0.47 и 7.0.82. Уязвимости подвержены системы, в которых включен метод HTTP PUT. Проэксплуатировав уязвимость, злоумышленник может удаленно выполнить произвольный код, загрузив вредоносный JSP-файл на целевой сервер с помощью специально сформированного запроса. Рабочий PoC-эксплоит опубликован в открытом доступе.

Хотя уязвимость выглядит довольно серьезной, она затрагивает только системы, на которых установлен сервлет с по умолчанию отключенным режимом readonly.

«Поскольку данная функция, как правило, не нужна, большинство систем с открытым исходным кодом не отключают режим readonly», - пояснил исследователь безопасности Петер Штекли (Peter Stöckli) из компании Alphabot Security.

Данная уязвимость практически аналогична CVE-2017-12615, которую разработчики Apache Tomcat исправили 19 сентября текущего года с выпуском версии 7.0.81.

Также разработчики исправили уязвимость CVE-2017-12616, позволявшую злоумышленнику обойти ограничения безопасности и просмотреть исходный код JSP с помощью специально сформированного запроса.

Компании Apple и Cisco также выпустили патчи, исправляющие ряд уязвимостей в своих продуктах. В частности, были исправлены несколько уязвимостей в iOS, позволявшие удаленному атакующему получить контроль над целевой системой. Cisco устранила несколько DoS-уязвимостей в продуктах Adaptive Security Appliance и Firepower Detection Engine.

Apache Tomcat - контейнер сервлетов с открытым исходным кодом, разрабатываемый Apache Software Foundation. Реализует спецификацию сервлетов и спецификацию JavaServer Pages (JSP) и JavaServer Faces (JSF). Написан на языке Java. Tomcat позволяет запускать web-приложения, содержит ряд программ для самоконфигурирования. Считается одним из наиболее используемых ПО в данной сфере.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь