Biznet BilişimBiznet Bilişim

Apache Tomcat JK ISAPI Connector Path Traversal Güvenlik Açığı

Yazar: Alphan Yavaş

CVE: CVE-2018- 1323
CVSS: 7.5 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Risk Seviyesi: Yüksek
Ürün: Apache Tomcat JK ISAPI Connector
Etkilenen Sürümler: 1.2.0’den 1.2.42’ye kadar
Yama Tarihi: 12 Mart 2018
Problem Detayları: Apache Tomcat, Microsoft IIS tabanlı bir sunucunun reverse-proxy olarak
kullanıldığı ortamlarda, özel hazırlanmış istekler sayesinde dizin atlatma zafiyetinden
etkilenebilmektedir. Söz konusu problem belirtilen yapıyı oluşturmak için kullanılan Tomcat JK
ISAPI Connector’ünden kaynaklanmaktadır. Saldırganlar bu zafiyet nedeni ile önemli
yapılandırma dosyalarına ulaşabilirler.
Çözüm/Öneri: Belirtilen problemler Apache Tomcat JK ISAPI Connector 1.2.43 sürümünde
giderilmiştir.
Referanslar:
https://tomcat.apache.org/security-jk.html

alphan.yavas
Yazar: alphan.yavas