-
27/04/2017
-
29
-
76 bài viết
CVE-2024-21733: Lỗ hổng tiết lộ thông tin trong Apache Tomcat
Mới đây, lỗ hổng CVE-2024-21733 đã được phát hiện trong Apache Tomcat. Đây là một lỗi xử lý không đúng cách yêu cầu POST không đầy đủ, một hiện tượng thường xảy ra trong giao tiếp trên web, gây ra phản hồi lỗi.
Apache Tomcat là một loại web server HTTP được phát triển bởi Apache Software Foundation, nó có khả năng hỗ trợ mạnh cho các ứng dụng Java thay vì các website tĩnh khác.
Mấu chốt của lỗ hổng nằm ở phần error response có thể vô tình chứa dữ liệu từ yêu cầu trước đó của người dùng khác. Tác động của lỗ hổng này là rất lớn, tiềm ẩn rủi ro về việc tiết lộ thông tin.
Nhà nghiên cứu bảo mật xer0dayz từ Sn1perSecurity LLC đã được ghi nhận vì đã báo cáo lỗ hổng này.
Các phiên bản Apache Tomcat bị ảnh hưởng bởi lỗ hổng bao gồm: Apache Tomcat phiên bản 9.0.0-M11 đến 9.0.43 và Apache Tomcat phiên bản 8.5.7 đến 8.5.63.
Người dùng các phiên bản bị ảnh hưởng nên nhanh chóng cập nhật bản vá bằng cách nâng cấp lên Apache Tomcat phiên bản 9.0.44 hoặc mới hơn. Đối với những người dùng thuộc nhánh 8.5.x có thể chuyển sang Apache Tomcat phiên bản 8.5.64 trở lên.
Apache Tomcat là một loại web server HTTP được phát triển bởi Apache Software Foundation, nó có khả năng hỗ trợ mạnh cho các ứng dụng Java thay vì các website tĩnh khác.
Mấu chốt của lỗ hổng nằm ở phần error response có thể vô tình chứa dữ liệu từ yêu cầu trước đó của người dùng khác. Tác động của lỗ hổng này là rất lớn, tiềm ẩn rủi ro về việc tiết lộ thông tin.
Nhà nghiên cứu bảo mật xer0dayz từ Sn1perSecurity LLC đã được ghi nhận vì đã báo cáo lỗ hổng này.
Các phiên bản Apache Tomcat bị ảnh hưởng bởi lỗ hổng bao gồm: Apache Tomcat phiên bản 9.0.0-M11 đến 9.0.43 và Apache Tomcat phiên bản 8.5.7 đến 8.5.63.
Người dùng các phiên bản bị ảnh hưởng nên nhanh chóng cập nhật bản vá bằng cách nâng cấp lên Apache Tomcat phiên bản 9.0.44 hoặc mới hơn. Đối với những người dùng thuộc nhánh 8.5.x có thể chuyển sang Apache Tomcat phiên bản 8.5.64 trở lên.
Nguồn: securityonline