وصله چندین آسیب‌پذیری‌ مهم امنیتی توسط Apache Tomcat

بنیاد نرم‌افزار آپاچی^(۱) به‌روزرسانی‌های امنیتی را برای رفع چندین آسیب‌پذیری در سرور Tomcat خود منتشر کرده است که یکی از آن‌ها می‌تواند به یک مهاجم از راه دور اجازه دهد تا اطلاعات حساس را به دست آورد.

Apache Tomcat یک وب سرور منبع باز و سیستم servlet است که از چندین ویژگی Java EE مانند Java Servlet، JavaServer Pages (JSP)، Expression Language و WebSocket استفاده می‌کند و یک محیط وب سرور HTTP از نوع pure java را برای concept جاوا فراهم می‌کند تا آن را اجرا کند.

برخلاف آسیب‌پذیری‌های Apache Struts2 که برای نفوذ[۱] به سیستم‌های آژانس گزارش حسابرسی امریکا یعنی Equifax در اواخر سال گذشته مورد بهره‌برداری قرار گرفت[۲]، آسیب‌پذیری‌های جدیدApache Tomcat به‌احتمال‌زیاد در سطح اینترنت مورد بهره‌برداری قرار نمی‌گیرند.

Apache Tomcat – آسیب‌پذیری افشای اطلاعات

نقص حیاتی‌تر (CVE-2018-8037) از بقیه در Apache Tomcat آسیب‌پذیری افشای اطلاعات است[۳] که ناشی از یک خطا در ردیابی اتصالات بسته^(۲) است که می‌تواند منجر به استفاده مجدد از جلسات کاربر در یک ارتباط جدید شود.

این آسیب‌پذیری که به‌عنوان مهم دسته‌بندی ‌شده است، توسط Dmitry Treskunov در ۱۶ ژوئن ۲۰۱۸ به گروه امنیتی Apache Tomcat Security گزارش شد و در ۲۲ ژوئیه ۲۰۱۸ به‌صورت عمومی منتشر شد.

این نقص بر روی نسخه‌های Tomcat  از ۹٫۰٫۰ تا ۹٫۰٫۹ و ۸٫۵٫۵ تا ۸٫۵٫۳۱ تأثیر می‌گذارد و درTomcat  نسخه ۹٫۰٫۱۰ و ۸٫۵٫۳۲ برطرف شده است.

Apache Tomcat – آسیب‌پذیری انکار سرویس^(۳) (DoS)

یکی دیگر از آسیب‌پذیری‌های مهم در Apache Tomcat که به‌عنوان CVE-2018-1336 نام‌گذاری شده است[۴]، در رمزگشای UTF-8 قرار دارد که می‌تواند منجر به DoS شود.

به‌روزرسانی‌های (وصله‌های) نرم‌افزاری Apache Tomcat Server

این آسیب‌پذیری بر روی نسخه‌های ۷٫۰، ۸٫۰، ۸٫۵٫۰ و ۹٫۰ تأثیرگذار است و در نسخه‌های ۹٫۰٫۷، ۸٫۵٫۳۲، ۸٫۰٫۵۲ و ۷٫۰٫۹۰ برطرف شده است.

ASF همچنین یک وصله امنیتی را در آخرین نسخه‌های Tomcat برای برطرف کردن یک اشکال دور زدن محدودیت‌های امنیتی (CVE-2018-8034) قرار داده است که به دلیل عدم وجود تائید نام میزبان در هنگام استفاده از TLS با سرویس‌گیرنده WebSocket به وجود آمده است[۵].

به مدیران شدیداً توصیه می‌شود تا در اسرع وقت به‌روزرسانی نرم‌افزاری را اعمال کنند و توصیه می‌شود فقط به کاربران مورد اعتماد اجازه دسترسی به شبکه و نظارت بر سیستم‌های تحت تأثیر داده شود.

همچنین ASF می‌گوید که هیچ موردی مربوط به آسیب‌پذیری‌های Apache Tomcat در سطح اینترنت مشاهده نکرده است.

یک مهاجم از راه دور می‌تواند از یکی از این آسیب‌پذیری‌ها برای دریافت اطلاعات حساس بهره‌برداری کند.

منابع

[۱] https://apa.aut.ac.ir/?p=2351

[۲] https://thehackernews.com/2017/10/equifax-credit-security-breach.html

[۳]https://mail-archives.us.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090623.GA92700%40minotaur.apache.org%3E

[۴]https://mail-archives.us.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722090435.GA60759%40minotaur.apache.org%3E

[۵]https://mail-archives.us.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722091057.GA70283@minotaur.apache.org%3E

[۶] https://thehackernews.com/2018/07/apache-tomcat-server.html

(۱) Apache Software Foundation (ASF)
(۲) closures
(۳) Denial of Service