Η ομάδα του Apache Tomcat έχει πρόσφατα επιδιορθώσει πολλές ευπάθειες ασφάλειας. Μια από αυτές θα μπορούσε να επιτρέψει σε έναν μη εξουσιοδοτημένο εισβολέα να εκτελέσει από απόσταση κακόβουλο κώδικα σε επηρεαζόμενους διακομιστές.
Ο Apache Tomcat, ο οποίος αναπτύχθηκε από το Apache Software Foundation (ASF), είναι ένας διακομιστής web ανοιχτού κώδικα και servlet container, το οποίο χρησιμοποιεί διάφορες προδιαγραφές της Java EE όπως Java Servlet, JavaServer Pages (JSP), Expression Language και WebSocket θεωρείται απο τους πλέον ασφαλείς servers.
Σύμφωνα με τον Peter Stöckli της Alphabot Security
“Tomcat versions before 9.0.1 (Beta), 8.5.23, 8.0.47 and 7.0.82 contain a potentially dangerous remote code execution (RCE) vulnerability on all operating systems if the default servlet is configured with the parameter readonly set to false or the WebDAV servlet is enabled with the parameter readonly set to false,”.
Αυτό το RCE vulnerability, θεωρείτε “important” γιατί σπάνια θα συναντήσεις σερβερ παραγωγικό με τέτοιο στήσιμο επηρεάζει τους Apache Tomcat versions 9.0.0.M1 – 9.0.0, 8.5.0 – 8.5.22, 8.0.0.RC1 – 8.0.46 και 7.0.0 – 7.0.81,
Διορθώθηκε στις εκδόσεις 9.0.1 (Beta), 8.5.23, 8.0.47 και 7.0.82.
Alexius Dionysius Diakogiannis
Passionate Archer, Runner, Linux lover and JAVA Geek! That's about everything! Alexius Dionysius Diakogiannis is a Senior Java Solutions Architect and Squad Lead at the European Investment Bank. He has over 20 years of experience in Java/JEE development, with a strong focus on enterprise architecture, security and performance optimization. He is proficient in a wide range of technologies, including Spring, Hibernate and JakartaEE. Alexius is a certified Scrum Master and is passionate about agile development. He is also an experienced trainer and speaker, and has given presentations at a number of conferences and meetups. In his current role, Alexius is responsible for leading a team of developers in the development of mission-critical applications. He is also responsible for designing and implementing the architecture for these applications, focusing on performance optimization and security.