Apache Tomcat Önemli Güvenlik Açıklarını Yamalar

Apache Software Foundation (ASF), Tomcat uygulama sunucusundaki bir çok güvenlik açığını gidermek için güvenlik güncellemelerini yayınladı; bunlardan biri, bir uzak saldırganın hassas bilgiler edinmesine olanak verebilirdi.

Apache Tomcat, Java Servlet, JavaServer Pages (JSP), İfade Dili ve WebSocket gibi çeşitli Java EE özelliklerini kullanan açık kaynaklı bir web sunucusu ve sunucu sistemidir ve Java kavramı için “saf Java” HTTP web sunucusu ortamı sağlar.

İçinde aksine Apache Struts2 açıkları Amerika’nın sistemlerini aşmak için istismar kredi raporlama geçen yılın sonlarında ajansı Equifax, yeni Apache Tomcat açıkları vahşi istismar olasılığı daha düşüktür.

Apache Tomcat – Bilginin Açığa Çıkması Güvenlik Açığı
Apache Tomcat’taki tüm kritik hatalar ( CVE-2018-8037 ), kullanıcı oturumlarının yeni bir bağlantıda yeniden kullanılmasına neden olabilecek bağlantı kapanmalarının takibindeki bir hatadan kaynaklanan bir bilginin açığa çıkması güvenlik açığıdır.

Güvenlik açığı, önemli olarak işaretlenmiş, 16 Haziran 2018’de Dmitry Treskunov tarafından Apache Tomcat Güvenlik Takımı’na bildirildi ve 22 Temmuz 2018’de halka açıldı. Hata, Tomcat 9.0.0.M9’dan 9.0.9 ve 8.5.5’e 8.5 .31 ve Tomcat 9.0.10 ve 8.5.32’de düzeltildi.

Apache Tomcat – Hizmet Reddi (DoS) Güvenlik Açığı
Apache Tomcat’te CVE-2018-1336 olarak izlenen bir diğer önemli güvenlik açığı, hizmet reddi (DoS) koşuluna neden olabilecek UTF-8 kod çözücüde bulunur.

Apache Software Foundation, “UTF-8 kod çözücüsünde ek karakterlerle taşmanın uygunsuz bir şekilde işlenmesi, bir Denial of Service’e neden olan dekoderde sonsuz bir döngüye yol açabilir” diyor.

Apache Tomcat Sunucu Yazılım Güncellemeleri (Yamalar)
Bu güvenlik açığı Tomcat 7.0.x, 8.0.x, 8.5.x ve 9.0.x sürümlerini etkiler ve Tomcat 9.0.7, 8.5.32, 8.0.52 ve 7.0.90 sürümlerinde anlatılmıştır.

Apache Software Foundation ayrıca , WebSocket istemcisiyle TLS kullanırken ana bilgisayar adı doğrulamasının eksikliğinden kaynaklanan düşük önemlilikteki güvenlik kısıtlamaları baypas hatasını (CVE-2018-8034) ele almak için en son Tomcat sürümlerinde bir güvenlik düzeltme eki içeriyordu .

Yöneticilerin, yazılım güncellemelerini mümkün olan en kısa sürede uygulamaları ve yalnızca güvenilen kullanıcıların ağ erişiminin yanı sıra etkilenen sistemleri izlemelerine izin vermeleri önerilir.

Apache Software Foundation, vahşi ortamda bu Apache Tomcat güvenlik açıklarından birinin herhangi birinin istismarını tespit etmediğini söyledi.

Uzak bir saldırgan, hassas bilgileri elde etmek için bu güvenlik açıklarından birini kullanabilir.