top of page

Falha de execução de código remota e DoS no apache tomcat


A falha mais crítica e de execução de código remota, representada pelo CVE-2024-50379 estava presente no default servlet e podia ser explorada em condições específicas, nomeadamente se o servlet pudesse ser configurado para permissões de escrita. Para explorar esta vulnerabilidade, os atacantes podiam fazer upload de ficheiros maliciosos disfarçados por legítimos, conseguindo, se bem sucedidos, a execução de código remota.

De seguida, temos a falha representada pelo CVE-2024-54677, de negação de serviço, e que afeta a página web de "exemplos". Através dela, os atacantes podiam causar um erro OutOfMemoryError através do upload de muitos dados, fazendo com que o servidor fosse abaixo ou os serviços


Versões afetadas

  • Apache Tomcat 11.0.0-M1 to 11.0.1

  • Apache Tomcat 10.1.0-M1 to 10.1.33

  • Apache Tomcat 9.0.0.M1 to 9.0.97


Versões corrigidas

  • Apache Tomcat 11.0.2 or later

  • Apache Tomcat 10.1.34 or later

  • Apache Tomcat 9.0.98 or later



Advisory oficial: https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r

Advisory da redhat: https://access.redhat.com/security/cve/CVE-2024-54677

Kommentare


POSTS RECENTES:
PROCURE POR TAGS:
bottom of page