Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/07/24

Garrantzia: Handia

Kaltetutako baliabideak:

• Apache Tomcat, 9.0.0.M9tik 9.0.9ra bitarteko bertsioak
• Apache Tomcat, 8.5.0tik 8.5.31ra bitarteko bertsioak
• Apache Tomcat, 8.0.0.RC1etik 8.0.51ra bitarteko bertsioak
• Apache Tomcat, 7.0.28tik 7.0.86ra bitarteko bertsioak

Azalpena:

Apache Software Foundationek segurtasun eguneraketa bat argitaratu du hainbat ahultasun konpontzeko. Horiek baliatuz urruneko erasotzaile batek zerbitzuaren ukapenak eragin litzake Apache Tomcat zerbitzarian edo bertatik informazio konfidentziala eskuratu lezake.

Konponbidea:

Eskuragarri dauden 9.0.10, 8.5.32, 8.0.52 eta 7.0.90 azken bertsioetara eguneratzea gomendatzen da.

Xehetasuna:

Aurkitutako ahultasunen artean karaktere osagarriak dituen UTF-8 deskodifikazioaren erabilera okerra ere badago. Horrek deskodegailuan begizta infinitu bat eragin dezake, eta ondorioz zerbitzuaren ukapen egoera sortu. Ahultasun horretarako CVE-2018-1336 identifikatzailea erabili da.

Gainera, aurkitutako beste ahultasunak erabiltzailearen saioen berrerabilpena ahalbidetu lezake, indarrean dauden konexioen itxieren segimenduan akats bat baitago. Ahultasun horretarako CVE-2018-1337 identifikatzailea erabili da.