Apache Software Foundation съобщи през почивните дни, че издават обновление

Apache Software Foundation заяви през почивните дни, че издават обновяване за апликационния сървър Tomcat, с който биват адресирани няколко неотдавна разкрити казуса.
Apache Tomcat – свободна имплементация на Java Servlet, JavaServer Pages (JSP), Java WebSocket and Java Expression Language е най-използвания уеб апликационен сървър през днешния ден с пазарен дял от над 60%. Хората, които се грижат за сигурността му са разкрили уязвимости, които могат да доведат до отвод за достъп до услуга, неразрешено откриване на информация и няколко по-дребни казуса.

CVE-2018-8037, да вземем за пример, съставлява бъг в следенето на закриването на връзката и може да докара до повторното потребление на потребителската сесия в нова връзка. Уязвимостта визира версии от 9.0.0.M9 до 9.0.9 и 8.5.5 до 8.5.31. Проблемът бива адресиран в оповестените нови версии на Tomcat 9.0.10 и 8.5.32.

Що се отнася до уязвимостта, която може да докара до отвод за достъп до услуга, то това е CVE-2018-1336 – който се показва в бъг в UTF-8 декодера. Проблемът визира версии 7.0.x, 8.0.x, 8.5.x и 9.0.x,. Адресиран е във версии 9.0.7, 8.5.32, 8.0.52 и 7.0.90.