Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in Apache Tomcat consente esecuzione di codice da remoto

apache  Apache Tomcat  remote code execution   mercoledì, 4 ottobre 2017

Apache Tomcat è un application server open source sviluppato dalla Apache Software Foundation che implementa le tecnologie Java Servlet, JavaServer Pages, Java Expression Language e Java WebSocket, fornendo una piattaforma software per lo sviluppo di applicazioni Web realizzate col linguaggio Java.

È stata scoperta una vulnerabilità di gravità elevata in Apache Tomcat che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario sul server caricando un file JSP mediante una richiesta HTTP appositamente predisposta.

Risultano affette da questa vulnerabilità le seguenti versioni di Apache Tomcat:

  • Tomcat versioni dalla 9.0.0.M1 alla 9.0.0
  • Tomcat versioni dalla 8.5.0 alla 8.5.22
  • Tomcat versioni dalla 8.0.0.RC1 alla 8.0.46
  • Tomcat versioni dalla 7.0.0 alla 7.0.81

È necessario aggiornare Tomcat ad una delle seguenti versioni:

  • Tomcat 9.0.1 o versione successiva
  • Tomcat 8.5.23 o versione successiva
  • Tomcat 8.0.47 o versione successiva
  • Tomcat 7.0.82 o versione successiva

Per maggiori dettagli sulle vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili, si raccomanda agli amministratori di server Tomcat di consultare il seguente bollettino di sicurezza (in Inglese):

Notizie correlate

Vulnerabilità critica di Adobe Flash Player sfruttata in attacchi mirati

18 ottobre 2017

Adobe ha rilasciato un aggiornamento di sicurezza per Flash Player che risolve una vulnerabilità critica che può consentire ad un attaccante di eseguire codice arbitrario da remoto.Leggi tutto

Vulnerabilità in Red Hat JBoss BPM Suite consente esecuzione di codice da remoto

13 ottobre 2017

Sono state scoperte due gravi vulnerabilità in Red Hat JBoss BPM Suite che possono consentire l'esecuzione di codice da remoto o causare condizioni di denial of service.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (ottobre 2017)

11 ottobre 2017

Microsoft ha rilasciato il 10 ottobre 2017 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple, di cui molte critiche, in Internet Explorer, Edge, Windows e altri prodotti.Leggi tutto