Apache Tomcat’dagi yangi zaifliklar masofadan kod bajarishga imkon berishi mumkin

Mashhur ochiq kodli Apache Tomcat veb-server va servlet konteynerida ikki yangi jiddiy zaiflik aniqlanib, ular tajovuzkorlarga masofadan turib kod bajarish va xizmatni rad etish (DoS) hujumlarini amalga oshirish imkoniyatini beradi.

Apache Software Foundation ushbu xavfsizlik zaifliklarini bartaraf etish uchun yamoqlarni chiqardi va foydalanuvchilarga darhol yangilanishni tavsiya etmoqda.

Zaiflik tafsilotlari

1. CVE-2024-50379: Masofadan kod bajarish (RCE)

Ushbu zaiflik “Muhim” deb baholanadi va quyidagi Apache Tomcat versiyalariga ta’sir qiladi:

  • Apache Tomcat 11.0.0-M1 dan 11.0.1 gacha
  • Apache Tomcat 10.1.0-M1 dan 10.1.33 gacha
  • Apache Tomcat 9.0.0.M1 dan 9.0.97 gacha

Zaiflik Tomcat’ning pishiq sinchkovlik tekshiruvlari bilan bog‘liq. Agar sukut bo‘yicha servlet yozish huquqlari bilan sozlangan bo‘lsa va fayl tizimi harf o‘lchamiga nisbatan sezgir bo‘lmasa, hujumchilar bir vaqtning o‘zida yuklash va o‘qish jarayonlari paytida “race condition”’ni ekspluatatsiya qilishi mumkin. Bu holat yuklangan fayllarni JSP fayllari sifatida qabul qilishga olib keladi va natijada masofadan kod bajarish imkoniyati paydo bo‘ladi.

2. CVE-2024-54677: Xizmatni rad etish (DoS)

Mazkur zaiflik “Kam” darajadagi xavf sifatida tasniflanadi, ammo hali ham sezilarli xavf tug‘dirishi mumkin. Bu zaiflik yuqorida qayd etilgan versiyalarga ta’sir qiladi va xizmatni rad etish hujumlariga yo‘l ochadi.

Zaiflik Tomcat’da berilgan namunaviy veb-ilovalardagi xatolikdan kelib chiqadi. Ushbu ilovalarda yuklanayotgan ma’lumot hajmini cheklovchi mexanizm mavjud emas. Shu sababli, katta hajmdagi ma’lumotni yuklash orqali tizim “OutOfMemoryError” xatosiga olib kelinadi va xizmat ishlamay qoladi.

Ammo, Tomcat’ning namuna ilovalari sukut bo‘yicha faqat localhost orqali kirish imkonini beradi, bu esa potentsial hujum yuzasini bir qadar toraytiradi.

Zaifliklarni bartaraf etish uchun Apache Software Foundation quyidagi yangilanishlarni o‘rnatishni tavsiya qiladi:

  • Apache Tomcat 11.0.2 yoki undan yangi versiya
  • Apache Tomcat 10.1.34 yoki undan yangi versiya
  • Apache Tomcat 9.0.98 yoki undan yangi versiya

Ushbu yangilanishlar har ikki zaiflikni bartaraf etib, Tomcat o‘rnatmalarining xavfsizligini sezilarli darajada yaxshilaydi. Ta’sirlangan versiyalardan foydalanayotgan tashkilotlar ushbu yangilanishlarni imkon qadar tezroq o‘rnatishi lozim.

Mazkur zaifliklarning aniqlanishi veb-server muhitlarida muntazam xavfsizlik auditlari va yamoqlarni o‘z vaqtida o‘rnatishning naqadar muhim ekanligini yana bir bor ta’kidlaydi. Apache Tomcat korporativ muhitlarda keng qo‘llaniladi, shuning uchun bu zaifliklarning ta’siri juda katta bo‘lishi mumkin.

IT administratorlari va xavfsizlik bo‘yicha mutaxassislar Tomcat o‘rnatmalarini zudlik bilan ko‘rib chiqib, zarur yangilanishlarni amalga oshirishlari shart. Apache Software Foundation ushbu muammolarni tezda hal qilgan bo‘lsa-da, bu hodisa murakkab dasturiy ekotizimlarda xavfsizlikni saqlashdagi davomiy muammolarni eslatadi.

Skip to content