Một số lỗ hổng nghiêm trọng đã được báo cáo trong Apache Tomcat, có thể bị kẻ xấu lợi dụng để vượt qua một số hạn chế bảo mật nhất định và gây ra cuộc tấn công DoS (Denial of Service). Những lỗ hổng này ảnh hưởng đến Apache Tomcat 6.x và Apache Tomcat 7.x.
Lỗ hổng Apache Tomcat
Theo CVE-2012-4431 , Bộ lọc ngăn chặn CSRF có thể bị bỏ qua nếu yêu cầu được thực hiện đối với tài nguyên được bảo vệ mà không có mã định danh phiên trong yêu cầu.
CVE-2012-4534, DOS bao gồm các lỗ hổng từ tiêu thụ tài nguyên quá mức (ví dụ: khiến hệ thống sử dụng nhiều bộ nhớ) đến làm sập một ứng dụng hoặc toàn bộ hệ thống.
Trong khi đó, CVE-2012-3546 – nơi người dùng độc hại hoặc người có thể bỏ qua một số cơ chế bảo mật của ứng dụng. Tác động thực tế thay đổi đáng kể tùy thuộc vào thiết kế và mục đích của ứng dụng bị ảnh hưởng.
Nếu bạn bị ảnh hưởng, vui lòng cập nhật Tomcat của bạn lên phiên bản cố định, tức là
- Tomcat 7.x: Cập nhật lên phiên bản 7.0.32.
- Tomcat 6.x: Cập nhật lên phiên bản 6.0.36.
