Уязвимость в устаревших выпусках Apache Tomcat, которая может привести к выполнению кода на сервере

11.09.2014 10:02

Раскрыта информация об опасной уязвимости (CVE-2013-4444) в контейнере для выполнения JSP-страниц и Java-сервлетов Apache Tomcat, позволяющей неаутентифицированнму злоумышленнику организовать удалённое выполнение кода на сервере. При определённом стечении обстоятельств атакующий может загрузить произвольный JSP-код на сервер и инициировать его выполнение. Необходимым условием для проведения атаки является использование в приложении функциональности Servlet 3.0 File Upload, включение JmxRemoteListener, который выключен по умолчанию, и его доступность на внешнем IP. Полноценная эксплуатация возможна вкупе с уязвимостью в классе java.io.File, которая присутствует в Oracle Java 1.7.0 update 25 и более ранних выпусках.

Проблема проявляется в выпусках Apache Tomcat с 7.0.0 по 7.0.39 и была устранена в Tomcat 7.0.40 без сообщения о наличии уязвимости. В настоящее время на странице со списком исправлений в Tomcat 7.0.40 присутствуют сведения об уязвимости, но судя по копии на web.archive.org, сделанной несколько дней назад, данные о проблеме добавлены задним числом. Исправление в 2013 году внесено под видом чистки неиспользуемого кода.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/40563-tomcat

Ключевые слова: tomcat

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (11)

1.1, Аноним (-), 10:27, 11/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Java, энтерпрайз

2.7, Аноним (7), 14:48, 11/09/2014 [^] [^^] [^^^] [ответить]	+/–
Опубликовали бы ещё тех кто поймал её, это надо быть героем что-бы так настроить :)

2.14, MVK (??), 12:32, 13/09/2014 [^] [^^] [^^^] [ответить]

+/–

> Java, энтерпрайз

"включение JmxRemoteListener, который выключен по умолчанию, и его доступность на внешнем IP"

- если кто-то использует такие настройки в продкшене, то его просто необходимо поиметь, в образовательных целях. У такого чудика еще и Tomcat под рутом небось запущен.

1.3, MidNighter (ok), 11:17, 11/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
судя по количеству новостей тема java на опеннет начинает раскрываться )

1.4, vitalif (ok), 12:43, 11/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
И ведь в дебиане не исправили ещё!.. https://security-tracker.debian.org/tracker/CVE-2013-4444

2.11, Аноним (-), 21:11, 11/09/2014 [^] [^^] [^^^] [ответить]	+/–
Jetty?

2.12, Аноним (-), 21:13, 11/09/2014 [^] [^^] [^^^] [ответить]	+/–
> И ведь в дебиане не исправили ещё!.. > https://security-tracker.debian.org/tracker/CVE-2013-4444 http://zeroturnaround.com/rebellabs/the-great-java-application-server-debate-

1.5, Аноним (-), 14:14, 11/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
мда, сейчас для ботнетов эта уязвимость просто подарок, ибо яву и приложения мало кто обновляет.

2.6, MidNighter (ok), 14:26, 11/09/2014 [^] [^^] [^^^] [ответить]	+/–
ну не всё так страшно как вы пишишите, Tomcat и Java обновятся через штатные обновления реп на Linux системах.

2.8, Аноним (7), 14:49, 11/09/2014 [^] [^^] [^^^] [ответить]	+/–
> мда, сейчас для ботнетов эта уязвимость просто подарок, ибо яву и приложения > мало кто обновляет. Так сильно "недефолтная" настройка

1.13, umbr (ok), 10:58, 13/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Очередной анекдот про критическую уязвимость в Томкате :)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: