6/10/17

Phát hiện lỗ hổng nghiêm trọng trong máy chủ web Apache Tomcat

Hãng bảo mật TrendMicro vừa phát hiện ra lỗ hổng trong máy chủ web Apache Tomcat, cho phép kẻ tấn công thực thi mã từ xa (RCE) tùy ý và vượt qua các ràng buộc bảo mật cũng như truy cập dữ liệu nhạy cảm.

Lỗ hổng mới là hậu quả sau khi Apache chưa thực sự giải quyết lỗ hổng trước đó
Lỗ hổng mới là hậu quả sau khi Apache chưa thực sự giải quyết lỗ hổng trước đó

Báo cáo cho biết, Apache đang xem xét giải quyết lỗ hổng bảo mật vừa được phát hiện trong Apache Tomcat vào ngày 3.10 vừa qua. Lỗ hổng CVE-2017-12617 ảnh hưởng đến hệ thống có phương thức kích hoạt HTTP PUT, có thể thực hiện bằng cách thiết lập chỉ đọc tham số khởi tạo mặc định của servlet thành false.

CVE-2017-12617 cho phép kẻ tấn công tải tập tin *.jsp độc hại lên máy chủ mục tiêu bằng một yêu cầu đặc biệt. Sau đó, máy chủ sẽ thực thi mã trong tập tin *.jsp khi tập tin được yêu cầu. Theo một chuyên gia bảo mật, kẻ tấn công không thể tải lên tập tin độc hại nếu tham số chỉ đọc được thiết lập là true.

Được biết, lỗ hổng bảo mật mới là hậu quả sau khi Apache chưa hoàn toàn giải quyết lỗ hổng CVE-2017-12615 mà họ thực hiện vào ngày 19.9 trước đó. Lỗ hổng CVE-2017-12615 được tìm thấy trong Apache Tomcat, ảnh hưởng đến các phiên bản 7.0.0 đến 7.0.79 và sau đó người dùng được yêu cầu nâng cấp lên phiên bản 7.0.81 hoặc mới hơn.

Xen giữa hai lỗ hổng trên, CVE-2017-12616, là vấn đề bắt nguồn từ việc sử dụng sai VirtualDirContextfeature trong môi trường sản xuất. Lỗ hổng này có thể vượt qua các ràng buộc bảo mật hoặc xem mã nguồn của các tập tin *jsp cho các tài nguyên được cung cấp bởi VirtualDirContext bằng một yêu cầu đặc biệt.

Theo khuyến cáo từ TrendMicro, bên cạnh việc áp dụng các bản vá lỗi, người dùng có thể ngăn chặn các mối đe dọa nhắm vào lỗ hổng Apache Tomcat bằng cách xem xét cấp quyền truy cập vào các hệ thống quan trọng và đảm bảo các ứng dụng bảo mật được cập nhật thường xuyên.

Related Posts:

  • Lumia 950 bán xả hàng giá 3,9 triệu đồng tại Việt NamNếu mua kèm theo dock Continumm, giá bán của máy sẽ là 4,99 triệu đồng. Đợt xả hàng này do đại lý tiến hành, bắt đầu từ ngày 27/12. ảnh minh họa Nhà bán lẻ lớn thứ 2 tại Việt Nam là FPT Shop sẽ cho bán xả hàng Lumia 950 với… Read More
  • 3 mẹo bảo mật tin nhắn trên iPhone bạn nên biếtNếu lo ngại người khác đọc lén tin nhắn trên iPhone, bạn có thể áp dụng vài mẹo nhỏ sau đây để hạn chế tình trạng trên. Mặc định iPhone sẽ hiển thị tin nhắn ngay trên màn hình khóa. Ảnh: MINH HOÀNG Mặc định, iPhone sẽ hiển … Read More
  • Nokia D1C tiếp tục lộ hình ảnh và cấu hìnhNokia D1C sẽ có 2 phiên bản, một dùng màn hình 5,5 inch, cảm biến vân tay, model còn lại sở hữu màn hình 5 inch. ảnh minh họa Thêm hình ảnh và cấu hình của chiếc smartphone tin đồn Nokia D1C vừa xuất hiện tại Trung Quốc. Đâ… Read More
  • 9 phát minh giúp thay đổi thế giới năm 2016Máy bay viện trợ nhân đạo, chatbot luật sư, đồ chơi cho trẻ tự kỷ... là những phát minh công nghệ mang tính đột phá, giúp thế giới trở nên tốt đẹp hơn. ảnh minh họa Máy bay viện trợ nhân đạo: Máy bay không người lái gi… Read More
  • iPhone 7 in hình Donald Trump, đính kim cương giá “khủng”Mặt sau của chiếc iPhone 7 in hình vị Tổng thống đắc cử Donald Trump, vỏ làm bằng vàng, và cạnh đính những viên kim cương. iPhone 7 có in hình Tổng thống mới đắc cử Donald Trump, và đính kim cương. Công ty Goldgenie, một cô… Read More