آپاچی چند به‌روزرسانی امنیتی منتشر کرد

گزارش آسیب‌پذیری

خلاصه

آپاچی یکسری به‌روزرسانی امنیتی منتشر می‌کند که با هدف مقابله با آسیب‌پذیری محروم‌سازی از سرویس در نرم‌افزار آپاچی تامکت و بسته apache Commons FileUpload طراحی شده‌اند.

شناسه تهدید:

CC-4270

شدت تهدید:

فقط اطلاعاتی

منتشر شده در:

22 فوریه 2023، ساعت 2:01 عصر

پلتفرم‌های تحت تأثیر آسیب‌پذیری

گفته شده که پلتفرم‌های زیر تحت تأثیر این آسیب‌پذیری‌ها قرار دارند:

آپاچی تامکت (Apache Tomcat)

نسخه‌ها: Versions: 11.0.0-M1, 10.1.0-M1 to 10.1.4, 9.0.0-M1 to 9.0.70, 8.5.0 to 8.5.84

pache Commons FileUpload

نسخه‌ها: قبل از 1.5

اطلاعات فنی

مقدمه

بنیاد نرم‌افزار آپاچی برای مقابله با آسیب‌پذیری محروم‌‌سازی از سرویس در نرم‌افزار آپاچی تامکت و بسته Commons FileUpload چند به‌روزرسانی امنیتی منتشر کرده است. آسیب‌پذیری CVE-2023-24998 می‌تواند امکان بارگذاری فایل از راه دور را برای مهاجمان فراهم کند که در چنین شرایطی امکان محروم‌سازی از سرویس وجود خواهد داشت.

توصیه‌ها:

به سازمان‌هایی که تحت تأثیر این آسیب‌پذیری قرار دارند توصیه شده که توصیه نامه امنیتی آپاچی را مطالعه کرده و به‌روزرسانی‌های مرتبط را نصب کنند.

مراحل توصیه شده

نوع	گام
راهنمایی	محروم‌سازی از سرویس آپاچی تامکت CVE-2023-24998 آپاچی تامکت 11.0.0-M1 باید به نسخه 11.0.0-M3 یا جدیدتر به‌روزرسانی شود. https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M3
راهنمایی	محروم‌سازی از سرویس آپاچی تامکت CVE-2023-24998 آپاچی تامکت 10.1.0-M1 تا 10.1.4 باید به آپاچی تامکت 10.1.5 یا جدیدتر به‌روزرسانی شوند. https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.5
راهنمایی	محروم‌سازی از سرویس آپاچی تامکت CVE-2023-24998 آپاچی تامکت 9.0.0-M1 تا 9.0.70 باید به آپاچی تامکت 9.0.71 یا جدیدتر به‌روزرسانی شوند. https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.71
راهنمایی	محروم‌سازی از سرویس آپاچی تامکت CVE-2023-24998 آپاچی تامکت 8.5.0 تا 8.5.84 باید به آپاچی تامکت 8.5.85 یا جدیدتر به‌روزرسانی شوند. https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.85
راهنمایی	آسیب‌پذیری محروم‌سازی از سرویس Apache Commons FileUpload با کد شناسایی CVE-2023-24998 Apache Commons FileUpload 1.0? – 1.4 باید به نسخه 1.5 به‌روزرسانی شوند. https://commons.apache.org/proper/commons-fileupload/security-reports.html

منبع قطعی به‌روزرسانی‌ها

آسیب‌پذیری‌های CVE

انتشار وضعیت

CVE-2023-24998

نسخه قبل از 1.5 Apache Commons FileUpload محدودیتی در تعداد قسمت‌های درخواستی که قرار است پردازش شوند در نظر نگرفته و این شرایط می‌تواند به مهاجمان امکان دهد که با انجام به‌روزرسانی‌های مخرب یا با یک سری به‌روزرسانی، باعث اجرای حمله محروم‌سازی از سرویس شوند.