Birkan bey merhaba, Bahsettiğiniz zafiyet CVE-2018-11784.
Bu vulnerability den etkilenen sürümler aşağıdaki gibi, Apache Tomcat 9.0.0.M1 to 9.0.11 Apache Tomcat 8.5.0 to 8.5.33 Apache Tomcat 7.0.23 to 7.0.90 The unsupported 8.0.x release line has not been analysed but is likely to be affected. Apache nin sitesinden bu cve için durum nedir diye kontrol ettiğinizde bunun 10 Eylül deki patch ile kapatıldığını görebilirsiniz (v9 için) Apache tomcat 9.0.11 de zafiyet var ancak 9.0.12 de zafiyet kapatılmış. Link: http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.12 Details: Fixed in Apache Tomcat 9.0.12 *Moderate: Open Redirect* CVE-2018-11784 <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11784> When the default servlet returned a redirect to a directory (e.g. redirecting to /foo/ when the user requested /foo) a specially crafted URL could be used to cause the redirect to be generated to any URI of the attackers choice. This was fixed in revision 1840055 <http://svn.apache.org/viewvc?view=rev&rev=1840055>. This issue was reported to the Apache Tomcat Security Team by Sergey Bobrov on 28 August 2018 and made public on 3 October 2018. Affects: 9.0.0.M1 to 9.0.11 On Thu, Oct 11, 2018, 3:10 AM Birkan Herdinç <[email protected]> wrote: > Şu an tüm sürümleri etkileniyor herhangi bir açık kapama söz konusu değil > gibi ? Yanlışım mı var. > > Okan Özdemir <[email protected]>, 10 Eki 2018 Çar, 15:09 tarihinde > şunu yazdı: > >> Selamlar, >> >> İlettiğiniz bildiride yazılımın hangi sürümlere güncellenmesi gerektiği >> yazılmış zaten. Nasıl bir “yama / paket” beklediğinizi anlayamadım. >> >> Okan Özdemir >> >> Birkan Herdinç <[email protected]> şunları yazdı (10 Eki 2018 >> 14:00): >> >> Herkese merhaba, >> Tomcat servisini kullanan sunucular bu açık kullanılarak hacklenmektedir. >> >> >> http://mail-archives.us.apache.org/mod_mbox/www-announce/201810.mbox/%[email protected]%3E >> >> Zafiyet için herhangi bir yama ve paket çıkmamıştır, alınacak tedbirler >> nelerdir bilgilendirme yapabilir misiniz ? >> >> ------------------------------------------------- >> Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - >> https://services.normshield.com/phishing-domain-search >> >> ------------------------------------------------- >> >> ------------------------------------------------- >> Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - >> https://services.normshield.com/phishing-domain-search >> >> ------------------------------------------------- > > ------------------------------------------------- > Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - > https://services.normshield.com/phishing-domain-search > > -------------------------------------------------
------------------------------------------------- Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search -------------------------------------------------
