WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Apache Tomcat vá lỗ hổng thực thi mã từ xa nghiêm trọng
Đội ngũ phát triển vừa phát hành bản vá các lỗ hổng an ninh trong Apache Tomcat, một trong những lỗ hổng cho phép kẻ tấn công thực thi mã độc trên các máy chủ bị ảnh hưởng.
Apache Tomcat được phát triển bởi Apache Software Foundation (AFS) sử dụng các đặc tính Java EE giống Java Servlet, JavaServer Pages (JSP), Expression Language và WebSocket, cung cấp một môi trường máy chủ HTTP “Java sạch” để thực thi ngôn ngữ Java.
Không giống các lỗ hổng Apache Struts 2 bị khai thác gần đây trong vụ tấn công Equifax lỗ hổng trong Apache Tomcat ít bị khai thác hơn.
Lỗ hổng thực thi mã từ xa (CVE-2017-12617) trong Apache Tomcat bắt nguồn từ việc xác thực không đầy đủ đầu vào do người dùng cung cấp của các phần mềm bị ảnh hưởng.
Chỉ những hệ thống bật HTTP PUTs (thiết lập thuộc tính “read-only” của servlet mặc định là “false”) mới bị ảnh hưởng.
Để khai thác lỗ hổng này kẻ tấn công phải tải file Java Server Page (JPS) độc hại lên máy chủ mục tiêu chạy phiên bản bị ảnh hưởng của Apache Tomcat và mã chứa trong file JSP đó phải được máy chủ thực thi khi được yêu cầu.
Để tải lên một JPS độc hại, kẻ tấn công chỉ cần gửi yêu cầu HTTP PUT đến máy chủ dính lỗ hổng, như mã khai thác PoC được công bố bởi Peter Stöckli của hãng an ninh Alphabot.
Việc khai thác thậm chí cho phép kẻ tấn công thực thi các mã độc trên máy chủ mục tiêu.
Lỗ hổng RCE ảnh hưởng đến tất cả các phiên bản Apache Tomcat 9.0.0.M1 đến 9.0.0, 8.5.0 đến 8.5.22, 8.0.0.RC1 đến 8.0.46 và 7.0.0 đến 7.0.81, và được cập nhật bản vá trên các phiên bản 9.0.1 (Beta), 8.5.23, 8.0.47 và 7.0.82 mới phát hành.
Các lỗi an ninh tương tự (CVE-2017-12615) trong Tomcat 7 trên Windows đã được Bên phát triển vá vào 19 tháng 9 qua bản cập nhật 7.0.81.
Các quản trị viên nên cập nhật phần mềm càng sớm càng tốt và chỉ cho phép người dùng tin cậy truy cập mạng cũng như giám sát các hệ thống bị ảnh hưởng.
Hiện tại, các nhà nghiên cứu vẫn chưa phát hiện hành động khai thác nào của một trong nhưng lỗ hổng Apache Tomcat.
Theo The Hacker News
Apache Tomcat được phát triển bởi Apache Software Foundation (AFS) sử dụng các đặc tính Java EE giống Java Servlet, JavaServer Pages (JSP), Expression Language và WebSocket, cung cấp một môi trường máy chủ HTTP “Java sạch” để thực thi ngôn ngữ Java.
Không giống các lỗ hổng Apache Struts 2 bị khai thác gần đây trong vụ tấn công Equifax lỗ hổng trong Apache Tomcat ít bị khai thác hơn.
Lỗ hổng thực thi mã từ xa (CVE-2017-12617) trong Apache Tomcat bắt nguồn từ việc xác thực không đầy đủ đầu vào do người dùng cung cấp của các phần mềm bị ảnh hưởng.
Chỉ những hệ thống bật HTTP PUTs (thiết lập thuộc tính “read-only” của servlet mặc định là “false”) mới bị ảnh hưởng.
Để khai thác lỗ hổng này kẻ tấn công phải tải file Java Server Page (JPS) độc hại lên máy chủ mục tiêu chạy phiên bản bị ảnh hưởng của Apache Tomcat và mã chứa trong file JSP đó phải được máy chủ thực thi khi được yêu cầu.
Việc khai thác thậm chí cho phép kẻ tấn công thực thi các mã độc trên máy chủ mục tiêu.
Lỗ hổng RCE ảnh hưởng đến tất cả các phiên bản Apache Tomcat 9.0.0.M1 đến 9.0.0, 8.5.0 đến 8.5.22, 8.0.0.RC1 đến 8.0.46 và 7.0.0 đến 7.0.81, và được cập nhật bản vá trên các phiên bản 9.0.1 (Beta), 8.5.23, 8.0.47 và 7.0.82 mới phát hành.
Các lỗi an ninh tương tự (CVE-2017-12615) trong Tomcat 7 trên Windows đã được Bên phát triển vá vào 19 tháng 9 qua bản cập nhật 7.0.81.
Các quản trị viên nên cập nhật phần mềm càng sớm càng tốt và chỉ cho phép người dùng tin cậy truy cập mạng cũng như giám sát các hệ thống bị ảnh hưởng.
Hiện tại, các nhà nghiên cứu vẫn chưa phát hiện hành động khai thác nào của một trong nhưng lỗ hổng Apache Tomcat.
Theo The Hacker News
Chỉnh sửa lần cuối: