Frissítésért kiált az Apache Tomcat

​Érdemes mihamarabb frissíteni az Apache Tomcatet, mivel az egy veszélyes sérülékenységet tartalmaz.
 

Ahogy arról a múlt héten a Biztonságportál Prémium weboldalain már beszámoltunk, az Apache Tomcat kapcsán egy súlyos sebezhetőségre derült fény. A biztonsági szakértők arra hívták fel a figyelmet, hogy mielőbb érdemes frissíteni a szoftvert, mivel a biztonsági rés valós veszélyeket rejt. A kockázatai között megtaláljuk a jogosulatlan fájlhozzáférést, de egyes esetekben a jogosulatlan távoli kódfuttatás lehetőségét sem lehet kizárni.
 
A CVE-2020-1938 azonosítójú sebezhetőséget a kínai Chaitin Tech biztonsági cég kutatói fedezték fel, és jelezték az Apache fejlesztőinek január 3-án. A hibajavítások mostanra váltak elérhetővé mindenki számára.
 
A biztonsági hiba a 6-os, 7-es, 8-as és 9-es verziókat is érinti, de mivel a 6-os kiadások már nem támogatottak, ezért e régi verziók továbbra is sebezhetők maradhatnak. A Chaitin Tech ezzel kapcsolatban megjegyezte, hogy mivel már a 6-os változatokban is megtalálható a biztonsági rés, ezért feltételezhetően a sérülékenység már legalább egy évtizede létezik.
 
A sebezhetőséget az AJP (Apache JServ Protocol) protokoll támogatását biztosító egyik összetevő tartalmazza. A kihasználásához nincs szükség arra, hogy a támadó előzetesen authentikálja magát a rendszerbe, ami a kockázatokat fokozza. Amennyiben sikerül a hibát kihasználnia az elkövetőnek, akkor konfigurációs állományokhoz, illetve forráskódokhoz férhet hozzá, illetve bizonyos körülmények között JSP kódokat futtathat le az érintett szerveren.
 
A biztonsági rés kihasználására alkalmas kódok már elérhetővé váltak az interneten, ami szintén a frissítés fontosságára hívja fel a figyelmet.
Vélemények
 
  1. 3

    A Fortinet egy biztonsági rést foltozott be.

  2. 3

    A Nextcloud kapcsán egy biztonsági rendellenességre derült fény.

  3. 2

    ​A WastedLocker zsaroló program nagy felfordulást képest okozni a számítógépeken, és biztonsági mentések hiányában akár helyreállíthatatlan károkat is előidézhet.

 
Partnerhírek
​Az ESET kutatói felfedezték a KryptoCibule-t

Egy korábban nem ismert rosszindulatú trójai szoftvercsaládot fedeztek fel az ESET kutatói, amely kártékony torrenteken keresztül terjedve többféle trükköt is bevet annak érdekében, hogy annyi kriptovalutától fossza meg áldozatait, amennyitől csak lehetséges – mindezt észrevétlenül.

Hogyan tehetjük biztonságosabbá a TikTok fiókunkat?

​A TikTok három évvel ezelőtt robbant be a köztudatba, azóta pedig töretlen népszerűségnek örvend, hiszen mára a második legnépszerűbb social média platformmá nőtte ki magát.

hirdetés
Közösség