
خلاصه
آپاچی در حال انتشار یک سری بهروزرسانیهای امنیتی است که برای رفع آسیبپذیری انکار سرویس در Apache Tomcat و بسته Commons FileUpload طراحی شدهاند.
شناسه تهدید:
CC-4270
شدت تهدید:
فقط اطلاعات
منتشر شده در:
22 فوریه 2023 در 2:01 ب.ظ
پلتفرم های تحت تاثیر این آسیب پذیری
گفته می شود پلتفرم های زیر تحت تأثیر این آسیب پذیری ها قرار می گیرند:
- آپاچی تامکت
نسخه ها: نسخهها: 11.0.0-M1، 10.1.0-M1 تا 10.1.4، 9.0.0-M1 تا 9.0.70، 8.5.0 تا 8.5.84
- Patch Commons FileUpload
نسخه: قبل از 1.5
اطلاعات فنی
معرفی
بنیاد نرمافزار آپاچی چندین بهروزرسانی امنیتی برای رفع آسیبپذیری انکار سرویس در Apache Tomcat و بسته Commons FileUpload منتشر کرده است. آسیبپذیری CVE-2023-24998 میتواند به مهاجمان اجازه دهد تا فایلی را از راه دور آپلود کنند، که میتواند باعث انکار سرویس شود.
توصیه ها:
به سازمانهایی که تحت تأثیر این آسیبپذیری قرار میگیرند توصیه میشود که توصیههای امنیتی Apache را مطالعه کرده و بهروزرسانیهای مناسب را نصب کنند.
مراحل توصیه شده
تایپ کنید | گام |
راهنمایی | Apache Tomcat Denial of Service CVE-2023-24998 آپاچی تامکت 11.0.0-M1 باید به 11.0.0-M3 یا جدیدتر به روز شود. https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M3 |
راهنمایی | Apache Tomcat Denial of Service CVE-2023-24998 آپاچی تامکت 10.1.0-M1 تا 10.1.4 باید به آپاچی تامکت 10.1.5 یا جدیدتر به روز شود. |
راهنمایی | Apache Tomcat Denial of Service CVE-2023-24998 آپاچی تامکت 9.0.0-M1 تا 9.0.70 باید به آپاچی تامکت 9.0.71 یا جدیدتر به روز شود. |
راهنمایی | Apache Tomcat Denial of Service CVE-2023-24998 آپاچی تامکت 8.5.0 تا 8.5.84 باید به آپاچی تامکت 8.5.85 یا جدیدتر به روز شود. |
راهنمایی | آسیب پذیری انکار سرویس آپلود فایل آپاچی با شناسه CVE-2023-24998 آپاچی کامانز فایل آپلود 1.0؟ – 1.4 باید به نسخه 1.5 به روز شود. https://commons.apache.org/proper/commons-fileupload/security-reports.html |
منبع قطعی به روز رسانی
- tomcat.apache
- commons.apache
آسیب پذیری ها CVE
آزادی دولت
CVE-2023-24998
نسخههای قبل از 1.5 آپاچی کامانز فایل آپلود، تعداد بخشهای درخواستی را که باید پردازش شوند، محدود نمیکنند، و این شرایط ممکن است به مهاجمان اجازه دهد تا با انجام بهروزرسانیهای مخرب یا یک سری بهروزرسانی، حمله انکار سرویس را انجام دهند.