Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ແຈ້ງເຕືອນ ຊ່ອງໂຫວ່ Apache Tomcat ສັ່ງໂຈມຕີໄດ້ຈາກໄລຍະໄກ ໂດຍຜ່ານການອັບໂຫຼດໄຟລ໌ JSP

ແຈ້ງເຕືອນ ຊ່ອງໂຫວ່ Apache Tomcat ສັ່ງໂຈມຕີໄດ້ຈາກໄລຍະໄກ ໂດຍຜ່ານການອັບໂຫຼດໄຟລ໌ JSP

ຂໍ້ມູນທົ່ວໄປ 

ພົບ​ຊ່ອງ​ໂຫວ່ໃນ​ເວັບ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ເ​ຊີເວີ​ (Web Application Server) Apache Tomcat 7.0.0 ເຖິງ​ 7.0.79 ໃນລະບົບ​ປະຕິບັດການ​ວິນ​ໂດ​ທີ່​ມີ​ການ​ເປີດ​ຮັບການຮ້ອງຂໍ (Request) HTTP ເມທອດ (Method)​ PUT (ດ້ວຍ​ການຕັ້ງ​ຄ່າ​ທີ່​ພາ​ຣາ​ມິ​ເຕີ​ (Parameter) readonly ໃນ​ DefaultServlet ໃຫ້ເປັນ​ false) ຊຶ່ງ​ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ອັບ​ໂຫຼດ​ (Upload) ໄຟ​ລ໌​ JSP ທີ່​ເປັນ​ອັນຕະລາຍ​ຜ່ານ​ການຮ້ອງຂໍໃນ​ລັກສະນະ​ດັ່ງ​ກ່າວ ​ແລະ​ ຣັນ (Run) ​ໄຟ​ລ໌​ທີ່່​ເປັນ​ອັນຕະລາຍ​ໄດ້​.


ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

Apache Tomcat 7.0.0 ເຖິງ ​7.0.79

ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ

ຜູ້​ໃຊ້​ງານ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຈາກ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ ​ແນະ​ນຳ​ໃຫ້​​ອັບ​ເກຣດ (Upgrade) ​ຮຸ້ນ​ຂອງ​ Apache Tomcat ໃຫ້ເປັນ​ 7.0.81 ເພື່ອຫຼຸດຄວາມ​ສ່ຽງ​ຈາກ​ການ​ໂຈມ​ຕີ​ລະບົບ​ດ້ວຍ​ຊ່ອງ​ໂຫວ່​ນີ້​.

ເອກະສານອ້າງອີງ:

1.  https://www.i-secure.co.th/2017/09/apache-tomcat-remote-code-execution-via-jsp-upload/

2.  http://tomcat.apache.org/security-7.html

Porher 22 September 2017 1,288 Print