ព័ត៌មាន

Apache Tomcat ធ្វើការ Patch ទៅលើកំហុសឆ្គងនៃការប្រតិបត្តិកូដពីចម្ងាយ

កម្មវិធី Apache Software Foundation (ASF) ចេញផ្សាយកំណែជំនាន់ថ្មីរបស់ម៉ាស៊ីនបម្រើកម្មវិធី Tomcat របស់ខ្លួនដើម្បីដោះស្រាយភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដ៏សំខាន់មួយដែលអាចឱ្យអ្នកវាយប្រហារពីចម្ងាយប្រតិបត្តិកូដព្យាបាទនិងគ្រប់គ្រងម៉ាស៊ីនបម្រើដែលរងផលប៉ះពាល់។Apache Tomcat ដែលបង្កើតឡើងដោយ ASF គឺជាគេហទំព័រម៉ាស៊ីនបម្រើបើកទូលាយនិងប្រព័ន្ធ servlet ដែលប្រើលក្ខណៈ Java EE ជាច្រើនដូចជា Java Servlet, JavaServer Pages (JSP), Expression Language និង WebSocket ដើម្បីផ្ដល់ “pure Java” ម៉ាស៊ីនបម្រើបរិស្ថានបណ្ដាញ HTTPសម្រាប់ គំនិត Java ដើម្បីដំណើរការ។

ភាពងាយរងគ្រោះប្រតិបត្តិកូដពីចម្ងាយ (CVE-២០១៩-០២៣២) ស្ថិតនៅក្នុងចំណុចប្រទាក់ Common Gateway Interface (CGI) Servlet នៅពេលដំណើរការលើ Windows ដោយបើក enableCmdLineArguments និងកើតឡើងដោយសារកំហុស Java Runtime Environment (JRE) ឆ្លងកាត់អាគុយម៉ង់បន្ទាត់ពាក្យបញ្ជាទៅ Windows។ចាប់តាំងពី CGI Servlet ត្រូវបិទតាមលំនាំដើមហើយជម្រើសរបស់វា enableCmdLineArguments ត្រូវបិទតាមលំនាំដើមនៅក្នុង Tomcat ៩.០.x ភាពងាយរងគ្រោះនៃការអនុវត្តកូដពីចម្ងាយត្រូវចាត់ទុកថាមានសារៈសំខាន់និងមិនសំខាន់។

ដើម្បីឆ្លើយតបទៅនឹងភាពងាយរងគ្រោះនេះ ជម្រើស CGI Servlet optioncmdLineArguments នឹងត្រូវបិទដំណើរការតាមលំនាំដើមនៅក្នុងគ្រប់ជំនាន់នៃ Apache Tomcat ។

កំណែជំនាន់ Tomcat ដែលទទួលរងផលប៉ះពាល់

  • Apache Tomcat ៩.០.០.M១ ដល់ ៩.០.១៧

  • Apache Tomcat ៨.៥.០ ដល់ ៨.៥.៣៩

  • Apache Tomcat ៧.០.០ ដល់ ៧.០.៩៣

កំណែជំនាន់ Tomcat ដែលគ្មានប្រសិទ្ធភាព

  • Apache Tomcat ៩.០.១៨ និងខ្ពស់ជាងនេះ

  • Apache Tomcat ៨.៥.៤០ និងខ្ពស់ជាងនេះ

  • Apache Tomcat ៧.០.៩៤ និងខ្ពស់ជាងនេះ

ការទាញយកភាពងាយរងគ្រោះដោយជោគជ័យនេះអាចឱ្យអ្នកវាយប្រហារពីចម្ងាយប្រតិបត្តិពាក្យបញ្ជាដែលបំពានលើម៉ាស៊ីនបម្រើWindowsគោលដៅដែលកំពុងដំណើរការកំណែជំនាន់ Apache Tomcat ដែលរងផលប៉ះពាល់ជាលទ្ធផលក្នុងការសម្រុះសម្រួលពេញលេញ។ភាពងាយរងគ្រោះនេះត្រូវរាយការណ៍ទៅក្រុមសុវត្ថិភាព Apache Tomcat ដោយក្រុមអ្នកស្រាវជ្រាវមកពី Nightwatch Cybersecurity នៅថ្ងៃទី៣ ខែមីនា ឆ្នាំ២០១៩ ហើយត្រូវផ្សព្វផ្សាយជាសាធារណៈនៅថ្ងៃទី១០ ខែមេសា ឆ្នាំ២០១៩ បន្ទាប់ពី ASF ចេញផ្សាយកំណែជំនាន់ថ្មី។

ភាពងាយរងគ្រោះរបស់កម្មវិធី Apache នេះត្រូវដោះស្រាយជាមួយនឹងការចេញផ្សាយកំណែជំនាន់ Tomcat ៩.០.១៩ (ទោះបីជាបញ្ហានេះត្រូវជួសជុលនៅក្នុង Apache Tomcat ៩.០.១៨ ការបោះឆ្នោតសម្រាប់ការបោះផ្សាយ ៩.០.១៨ មិនត្រូវអនុម័ត) កំណែ ៨.៥.៤០ និងកំណែ ៧.០.៩៣។ដូច្នេះ អ្នកគ្រប់គ្រងត្រូវណែនាំឱ្យអនុវត្តការធ្វើបច្ចុប្បន្នភាពកម្មវិធីឆាប់ៗតាមដែលអាចធ្វើទៅ។ ប្រសិនបើអ្នកមិនអាចអនុវត្តភ្លាមៗ អ្នកគួរតែប្រាកដថា default enableCmdLineArguments value នៃប៉ារ៉ាម៉ែត្រ CGI Servlet initialization ត្រូវកំណត់ទៅមិនពិត។​

image

image