XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ
QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > Apache Tomcat –da kritik boşluq aradan qaldırıldı.

9 Okt 2017

Bildiyimiz kimi, bir çox informasiya sistemlərində istifadə olunan Apache Tomcat proqramında kritik boşluqlar aşkarlanmışdır. Bu boşluqlar xakerə ixtiyari kodu icra etməklə serverə məqsədli zərərverici JSP faylını yükləmək imkanı verirdi. Apache Tomcat–da xakerə ixtiyari kodu icra etmək imkanı verən boşluqlar və bir neçə digər ciddi çatışmazlıqlar aradan qaldırılıb. CVE-2017-12617 identifikatorunu almış mövcud boşluq Apache Tomcat-ın 9.x, 8.5.x, 8.0.x və 7.0.x versiyalarını əhatə edir. Problem 9.0.1, 8.5.23, 8.0.47 və 7.0.82 buraxlışlarında artıq aradan qaldırılıb. HTTP PUT metodu aktiv olan sistemlər bu boşluğa məruz qalıblar. Mövcud boşluq bu ilin 19 sentyabrında Apache Tomcat-ın proqramçıları tərəfindən aradan qaldırılan 7.0.81 buraxılışının CVE-2017-12615-də praktiki analoqudur. 

Apple və Cisco şirkətləri də öz məhsullarında bir sıra boşluqları aradan qaldıran patçı buraxıblar. Xüsusilə də, İOS sistemində xakerə məsafədən hədəf sistemini tam nəzarətə götürə bilən boşluqlar da aradan qaldırılıb. Cisco isə Adaptive Security Appliance və Firepower Detection Engine məhsullarında bir sıra DDOS boşluqlarını da aradan qaldırmışdır.