Apache lukker to sikkerhedshuller i Tomcat

Apache har fjernet to sårbarheder i Tomcat, hvoraf den ene gav angribere mulighed for at afvikle skadelig programkode.

Apache Tomcat 7.0.81 blev udsendt den 16. august. Apache har nu frigivet information om to sårbarheder, der blev fjernet ved den lejlighed.

Den ene gør det muligt at uploade en JSP-fil til serveren. Angriberen kan derefter køre filen og dermed afvikle skadelig programkode på serveren. Sårbarheden kan kun udnyttes på Windows, og kun hvis HTTP PUT er slået til.

Den anden sårbarhed gør det muligt at se kildekoden for JSP-filer.

Apache giver begge sårbarheder den næsthøjeste risikovurdering.

Anbefaling

Opdater til Apache Tomcat 7.0.81.

Links