
خلاصه
آپاچی یکسری بهروزرسانی امنیتی منتشر میکند که با هدف مقابله با آسیبپذیری محرومسازی از سرویس در نرمافزار آپاچی تامکت و بسته apache Commons FileUpload طراحی شدهاند.
شناسه تهدید:
CC-4270
شدت تهدید:
فقط اطلاعاتی
منتشر شده در:
22 فوریه 2023، ساعت 2:01 عصر
پلتفرمهای تحت تأثیر آسیبپذیری
گفته شده که پلتفرمهای زیر تحت تأثیر این آسیبپذیریها قرار دارند:
- آپاچی تامکت (Apache Tomcat)
نسخهها: Versions: 11.0.0-M1, 10.1.0-M1 to 10.1.4, 9.0.0-M1 to 9.0.70, 8.5.0 to 8.5.84
- pache Commons FileUpload
نسخهها: قبل از 1.5
اطلاعات فنی
مقدمه
بنیاد نرمافزار آپاچی برای مقابله با آسیبپذیری محرومسازی از سرویس در نرمافزار آپاچی تامکت و بسته Commons FileUpload چند بهروزرسانی امنیتی منتشر کرده است. آسیبپذیری CVE-2023-24998 میتواند امکان بارگذاری فایل از راه دور را برای مهاجمان فراهم کند که در چنین شرایطی امکان محرومسازی از سرویس وجود خواهد داشت.
توصیهها:
به سازمانهایی که تحت تأثیر این آسیبپذیری قرار دارند توصیه شده که توصیه نامه امنیتی آپاچی را مطالعه کرده و بهروزرسانیهای مرتبط را نصب کنند.
مراحل توصیه شده
نوع | گام |
راهنمایی | محرومسازی از سرویس آپاچی تامکت CVE-2023-24998 آپاچی تامکت 11.0.0-M1 باید به نسخه 11.0.0-M3 یا جدیدتر بهروزرسانی شود. https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M3 |
راهنمایی | محرومسازی از سرویس آپاچی تامکت CVE-2023-24998
آپاچی تامکت 10.1.0-M1 تا 10.1.4 باید به آپاچی تامکت 10.1.5 یا جدیدتر بهروزرسانی شوند. |
راهنمایی | محرومسازی از سرویس آپاچی تامکت CVE-2023-24998
آپاچی تامکت 9.0.0-M1 تا 9.0.70 باید به آپاچی تامکت 9.0.71 یا جدیدتر بهروزرسانی شوند. |
راهنمایی | محرومسازی از سرویس آپاچی تامکت CVE-2023-24998
آپاچی تامکت 8.5.0 تا 8.5.84 باید به آپاچی تامکت 8.5.85 یا جدیدتر بهروزرسانی شوند. |
راهنمایی | آسیبپذیری محرومسازی از سرویس Apache Commons FileUpload با کد شناسایی CVE-2023-24998
Apache Commons FileUpload 1.0? – 1.4 باید به نسخه 1.5 بهروزرسانی شوند. https://commons.apache.org/proper/commons-fileupload/security-reports.html |
منبع قطعی بهروزرسانیها
آسیبپذیریهای CVE
نسخه قبل از 1.5 Apache Commons FileUpload محدودیتی در تعداد قسمتهای درخواستی که قرار است پردازش شوند در نظر نگرفته و این شرایط میتواند به مهاجمان امکان دهد که با انجام بهروزرسانیهای مخرب یا با یک سری بهروزرسانی، باعث اجرای حمله محرومسازی از سرویس شوند.