Tổ chức Phần mềm Apache (ASF) đã phát hành các bản cập nhật bảo mật để giải quyết một số lỗ hổng trong máy chủ ứng dụng Tomcat của mình, một trong số đó có thể cho phép kẻ tấn công từ xa lấy được thông tin nhạy cảm.
Apache Tomcat là một máy chủ web và hệ thống servlet nguồn mở, sử dụng một số đặc tả Java EE như Java Servlet, JavaServer Pages (JSP), Ngôn ngữ biểu thức và WebSocket, đồng thời cung cấp môi trường máy chủ web HTTP “Java thuần túy” để chạy khái niệm Java TRONG.
Không giống như các lỗ hổng Apache Struts2 được khai thác để vi phạm hệ thống của cơ quan báo cáo tín dụng Mỹ Equifax vào cuối năm ngoái, các lỗ hổng Apache Tomcat mới ít có khả năng bị khai thác hơn.
Danh mục bài viết
Apache Tomcat — Lỗ hổng tiết lộ thông tin
Lỗ hổng nghiêm trọng hơn (CVE-2018-8037) trong Apache Tomcat là lỗ hổng tiết lộ thông tin do lỗi theo dõi việc đóng kết nối có thể dẫn đến việc sử dụng lại các phiên của người dùng trong một kết nối mới.
Lỗ hổng, được đánh dấu là quan trọng, đã được báo cáo cho Nhóm bảo mật Apache Tomcat bởi Dmitry Treskunov vào ngày 16 tháng 6 năm 2018 và được công khai vào ngày 22 tháng 7 năm 2018.
Lỗ hổng ảnh hưởng đến các phiên bản Tomcat 9.0.0.M9 đến 9.0.9 và 8.5.5 đến 8.5.31 và đã được sửa trong Tomcat 9.0.10 và 8.5.32.
Apache Tomcat — Lỗ hổng từ chối dịch vụ (DoS)
Một lỗ hổng quan trọng khác, được theo dõi là CVE-2018-1336, trong Apache Tomcat nằm trong bộ giải mã UTF-8 có thể dẫn đến tình trạng từ chối dịch vụ (DoS).
“Việc xử lý tràn bộ giải mã UTF-8 với các ký tự bổ sung không đúng cách có thể dẫn đến một vòng lặp vô hạn trong bộ giải mã gây ra Từ chối dịch vụ”, Tổ chức phần mềm Apache cho biết trong lời khuyên của mình.
Cập nhật phần mềm máy chủ Apache Tomcat (Bản vá lỗi)
Lỗ hổng ảnh hưởng đến các phiên bản Tomcat 7.0.x, 8.0.x, 8.5.x và 9.0.x và đã được xử lý trong các phiên bản Tomcat 9.0.7, 8.5.32, 8.0.52 và 7.0.90.
Nắm vững nghệ thuật thông minh về mối đe dọa web tối
Khám phá cách truy cập các nguồn ngầm bí mật và hợp lý hóa các nỗ lực thu thập thông tin về mối đe dọa của bạn bằng tự động hóa.
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Apache Software Foundation cũng bao gồm một bản vá bảo mật trong các phiên bản Tomcat mới nhất để giải quyết lỗi bỏ qua giới hạn bảo mật ở mức độ nghiêm trọng thấp (CVE-2018-8034), xảy ra do thiếu xác minh tên máy chủ khi sử dụng TLS với ứng dụng khách WebSocket.
Các quản trị viên nên áp dụng các bản cập nhật phần mềm càng sớm càng tốt và nên chỉ cho phép những người dùng đáng tin cậy có quyền truy cập mạng cũng như giám sát các hệ thống bị ảnh hưởng.
Tổ chức Phần mềm Apache cho biết họ đã không phát hiện bất kỳ sự cố nào về việc khai thác một trong những lỗ hổng Apache Tomcat này trong tự nhiên.
Kẻ tấn công từ xa có thể khai thác một trong những lỗ hổng này để lấy thông tin nhạy cảm.
