Сервер Apache Tomcat уражений уразливістю Remote Code Execution, що знаходиться в бібліотеці журналювання Log4j. 9 грудня 2021 р
Log4j в Apache Tomcat Apache Tomcat не використовує log4j, тоді як програми, розгорнуті в Apache Tomcat, можуть використовувати log4j. Більшість клієнтів не відкриватимуть свій сервер Tomcat для зовнішнього світу, але якщо це буде зроблено, log4j може бути зловживаний. Уразливість зловживає так званим «Пошуком повідомлень».
Log4j можна використовувати як структуру журналювання для Apache Tomcat.
Servlet Engine Apache Tomcat x, 9.0. х, 10,0. х і 10.1. x) не мають залежності від жодної версії log4j.
CVE-2021-45046
| Резюме | Пошук контексту потоку вразливий до віддаленого виконання коду в певних конфігураціях |
|---|---|
| Уражені компоненти | log4j-ядро |
| Порушені версії | [2.0-beta9, 2.3.1) ∪ [2.4, 2.12.3) ∪ [2.13.0, 2.17.0) |
| Виправлені версії | 2.3.1 (для Java 6), 2.12.3 (для Java 7) і 2.17.0 (для Java 8 і новіших версій) |
Уразливість виявлена у відкритому веб-сервері Apache Tomcat, розробленому Apache Software Foundation. Це недолік безпеки може бути використаний віддаленим зловмисником для перевантаження обчислювальних ресурсів уразливої системи, таким чином ставлячи під загрозу доступність служби.