Опасная уязвимость в Apache Tomcat

23.11.2016 23:44

В Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket, выявлена опасная уязвимость (CVE-2016-8735), которая может привести к удалённому выполнению кода злоумышленника. Уязвимость присутствует в обработчике JmxRemoteLifecycleListener и идентична аналогичной проблеме (CVE-2016-3427) в Java SE, без привлечения лишнего внимания исправленной компанией Oracle. Уязвимости присвоен статус опасной, но не критической проблемы, так как для успешной эксплуатации в системе требуется использование JmxRemoteLifecycleListener и открытие вовне портов JMX, что нетипично для большинства установок. Проблема устранена в Apache Tomcat 9.0.0.M13, 8.5.8, 8.0.39, 7.0.73 и 6.0.48.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45551-apache

Ключевые слова: apache, tomcat

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (4)

RSS

1, Аноним (-), 07:01, 24/11/2016 [ответить]	+/–
IZen, что за фигня? Ты же сказал, что на java не бывает таких уязвимостей.

2, angra (ok), 08:26, 24/11/2016 [^] [^^] [^^^] [ответить]	+3 +/–
Я конечно не Изя и не сторонник жабы, но и у меня возникает к тебе вопрос: "Каких таких?". Ты хоть понял в чем ошибка была? Кстати, в обычном С коде такой уязвимости как раз быть не может.

3, Аноним (-), 09:52, 24/11/2016 [ответить]	+2 +/–
Т.е. открытая на весь мир админка теперь считается уязвимостью? Автора на мыло!

4, Анын (ok), 12:56, 24/11/2016 [^] [^^] [^^^] [ответить]	+/–
Кто-то Redis выставляет наружу, кто-то JMX :)

5, Аноним (-), 14:41, 24/11/2016 [^] [^^] [^^^] [ответить]	+/–
Т.е. открытая на весь мир админка теперь считается уязвимостью? Ну это смотря кто считать будет. Кто-нибудь типа авторов mirai наоборот посчитает это за фичу - бесплатные ресурсы для ботнета намечаются.

Добавить комментарий

Текст: