El US-CERT ha lanzado la alarma de una vulnerabilidad crítica en Apache Tomcat que se puede ver detallada en la web de CVE y en la página oficial de Apache-Tomcat . La vulnerabilidad permite que un atacante pueda ver información "privada/sensible" alojada en el servidor donde está instalado el software vulnerable.
Tan pronto como aparece la vulnerabilidad empiezan a aparecer las pruebas de concepto que ayudan a los script kiddies a aprovecharla para fines maliciosos. Simplemente debemos realizar una búsqueda en google y encontraremos el enlace de milw0rm, donde aparece la prueba de concepto; además de ver la facilidad de explotarla ;).
Lo importante para un administrador de sistemas es ACTUALIZAR los sistemas a una versión NO vulnerable lo antes posible. En el caso de no disponer de actualización para la versión instalada se recomienda en el context.xml y server.xml revisar las opciones allowLinking y URIencondin y configurarlas de manera que no sean vulnerables.
Los deberes son probar en un entorno de laboratorio la vulnerabilidad y mostrar de una manera más práctica y menos teórica el impacto de la misma.
Un saludo.
Tan pronto como aparece la vulnerabilidad empiezan a aparecer las pruebas de concepto que ayudan a los script kiddies a aprovecharla para fines maliciosos. Simplemente debemos realizar una búsqueda en google y encontraremos el enlace de milw0rm, donde aparece la prueba de concepto; además de ver la facilidad de explotarla ;).
Lo importante para un administrador de sistemas es ACTUALIZAR los sistemas a una versión NO vulnerable lo antes posible. En el caso de no disponer de actualización para la versión instalada se recomienda en el context.xml y server.xml revisar las opciones allowLinking y URIencondin y configurarlas de manera que no sean vulnerables.
Los deberes son probar en un entorno de laboratorio la vulnerabilidad y mostrar de una manera más práctica y menos teórica el impacto de la misma.
Un saludo.
.png "English"){kind=small}
Entradas
1 comentario :
Probada con éxito!
Publicar un comentario