Lỗ hổng trên Tomcat

Các lỗ hổng trên Apache Tomcat đã được vá

October 9, 2017 | vietsunshine

Một số lỗ hổng, kể cả những lỗ hổng cho phép kẻ tấn công từ xa thực hiện mã tùy ý đã được vá trong vài tuần gần đây trên Apache Tomcat.

Được phát triển bởi The Apache Software Foundation, Apache Tomcat là một mã nguồn mở thêm vào Java Servlet, JavaServer Pager (JSP), Java WebSocket và Java Expression Language. Tomcat là máy chủ ứng dụng web được sử dụng rộng rãi nhất, với sự hiện diện ở hơn 70% trung tâm dữ liệu doanh nghiệp.

Các nhà phát triển Apache Tomcat đã thông báo cho người dùng vào hôm thứ ba vừa rồi rằng các sản phẩm bị ảnh hưởng bởi một lỗ hổng có thể bị hacker lợi dụng để triển khai các mã từ xa.

Lỗ hổng được theo dõi là CVE-2017-12617 và được coi là “nghiêm trọng”, đã được giải quyết bằng việc phát hành các phiên bản 9.0.1, 8.5.23, 8.0.47 và 7.0.82. Tất cả các phiên bản 9.x, 8.5.x, 8.0.x và 7.0.x trước đều bị ảnh hưởng.

Lỗ hổng ảnh hưởng đến hệ thống bằng cách kích hoạt phương pháp HTTP PUT cho phép kẻ tấn công tải tệp tin JSP độc hại lên máy chủ và tạo ra một yêu cầu đặc biệt. Máy chủ sau đó sẽ thực thi mã trong tệp JSP khi được yêu cầu.

Mặc dù điều này có vẻ như là một lỗ hổng nghiêm trọng, nhưng nó chỉ ảnh hưởng đến các hệ thống có servlet mặc định được cấu hình với tham số chỉ đọc là false hoặc servlet WebDAV được bật với tham số readonly là false.

Peter Stöckli của Alphabot Security giải thích: “Vì tính năng này thường không được mong muốn, nên hầu hết các hệ thống phơi bày công khai sẽ không được thiết lập là false và do đó không bị ảnh hưởng.”

Lỗ hổng này rất giống với CVE-2017-12615, nhà phát triển Apache Tomcat đã vá vào ngày 19 tháng 9 với việc phát hành phiên bản 7.0.81

Bản cập nhật Apache Tomcat 7 được phát hành vào tháng 9 cũng vá lỗi CVE-2017-12616, một lỗ hổng cho phép kẻ tấn công bỏ qua các ràng buộc về bảo mật và xem mã nguồn của các JSP thông qua một yêu cầu được tạo ra đặc biệt.

Các lỗ hổng Apache Tomcat ít bị khai thác, so với các lỗ hổng Apache Struts 2, đã được sử dụng trong nhiều vụ tấn công, bao gồm cả vi phạm các hệ thống của cơ quan báo cáo tín dụng Mỹ Equifax.

Tags: , , , ,