Ir para conteúdo

Alerta de Vulnerabilidades - Apache Tomcat

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Apache Tomcat 10.0.0-M1 a 10.0.0-M9; Apache Tomcat 9.0.0.M1 a 9.0.39; Apache Tomcat 8.5.0 a 8.5.59; Apache Tomcat 7.0.0 a 7.0.106
ECOSSISTEMA
Apache, Outro
Descrição

A Apache Software Foundation lançou uma atualização de segurança para resolver uma vulnerabilidade que afeta várias versões, onde ao ser utilizado através de uma rede que utilize o sistema de ficheiros NTFS é possível contornar as restrições de segurança e/ou ver o código fonte de páginas JSP em algumas configurações. O problema em alguns casos está associado ao comportamento inconsistente do Windows API (FindFirstFileW) causado pelo comportamento inesperado da API JRE File.getCanonicalPath().[1]


Impacto

Quando esta vulnerabilidade é explorada com sucesso, o atacante pode ter acesso a informação sensível.


Resolução

Os utilizadores das versões afetadas devem atualizá-las para a sua versão mais recente:[2]
- Apache Tomcat 10.0.0-M10 ou mais recente;
- Apache Tomcat 9.0.40 ou mais recente;
- Apache Tomcat 8.5.60 ou mais recente;
- Apache Tomcat 7.0.107 ou mais recente.


Referências

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-24122
[2] http://tomcat.apache.org

Última atualização em 07-09-2022