Kullandığınız işletim sistemi sürüm ve versiyonu nedir? Linux ise repo erişimi vs de sorun olmadığından emin olun.
Kullandığınız sürüm oldukça eski görünüyor, şu anki güncel sürüm 7.0.91. Aşağıdaki iki upgrade sürecini anlatan linki incelemekte fayda var. https://community.yellowfinbi.com/knowledge-base/article/how-to-upgrade-tomcat https://askubuntu.com/questions/403453/how-to-install-latest-version-of-tomcat-on-ubuntu-using-apt Bu arada bu sistem dışarıya açıksa ve kısa süre içerisinde upgrade edemeyecekseniz, readme ve http 404 hataları gibi ekranlar da sürüm bilgisini göstermeyecek şekilde yapılandırmanızda fayda var. Aksi taktirde bot'lar tarafından sürüm keşif edilebilir ve bazı saldırılara maruz kalabilirsiniz. On Fri, Oct 12, 2018 at 2:33 AM Birkan Herdinç <[email protected]> wrote: > Merhaba, > Apache 7.0.76 kullanıyorum yum update tomcat dediğimde kendisini > güncellemedi. Canlı çalışan bir sistem ve komple silip tekrar yüklemem mi > gerekiyor ? > > Kayhan Kayihan <[email protected]>, 11 Eki 2018 Per, 11:39 > tarihinde şunu yazdı: > >> Birkan bey merhaba, >> >> Bahsettiğiniz zafiyet CVE-2018-11784. >> >> Bu vulnerability den etkilenen sürümler aşağıdaki gibi, >> >> Apache Tomcat 9.0.0.M1 to 9.0.11 >> Apache Tomcat 8.5.0 to 8.5.33 >> Apache Tomcat 7.0.23 to 7.0.90 >> The unsupported 8.0.x release line has not been analysed but is likely >> to be affected. >> >> >> Apache nin sitesinden bu cve için durum nedir diye kontrol ettiğinizde >> bunun 10 Eylül deki patch ile kapatıldığını görebilirsiniz (v9 için) Apache >> tomcat 9.0.11 de zafiyet var ancak 9.0.12 de zafiyet kapatılmış. >> >> Link: >> http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.12 >> >> Details: >> >> Fixed in Apache Tomcat 9.0.12 >> >> *Moderate: Open Redirect* CVE-2018-11784 >> <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11784> >> >> When the default servlet returned a redirect to a directory (e.g. >> redirecting to /foo/ when the user requested /foo) a specially crafted >> URL could be used to cause the redirect to be generated to any URI of the >> attackers choice. >> >> This was fixed in revision 1840055 >> <http://svn.apache.org/viewvc?view=rev&rev=1840055>. >> >> This issue was reported to the Apache Tomcat Security Team by Sergey >> Bobrov on 28 August 2018 and made public on 3 October 2018. >> >> Affects: 9.0.0.M1 to 9.0.11 >> >> >> On Thu, Oct 11, 2018, 3:10 AM Birkan Herdinç <[email protected]> >> wrote: >> >>> Şu an tüm sürümleri etkileniyor herhangi bir açık kapama söz konusu >>> değil gibi ? Yanlışım mı var. >>> >>> Okan Özdemir <[email protected]>, 10 Eki 2018 Çar, 15:09 tarihinde >>> şunu yazdı: >>> >>>> Selamlar, >>>> >>>> İlettiğiniz bildiride yazılımın hangi sürümlere güncellenmesi gerektiği >>>> yazılmış zaten. Nasıl bir “yama / paket” beklediğinizi anlayamadım. >>>> >>>> Okan Özdemir >>>> >>>> Birkan Herdinç <[email protected]> şunları yazdı (10 Eki 2018 >>>> 14:00): >>>> >>>> Herkese merhaba, >>>> Tomcat servisini kullanan sunucular bu açık kullanılarak >>>> hacklenmektedir. >>>> >>>> >>>> http://mail-archives.us.apache.org/mod_mbox/www-announce/201810.mbox/%[email protected]%3E >>>> >>>> Zafiyet için herhangi bir yama ve paket çıkmamıştır, alınacak tedbirler >>>> nelerdir bilgilendirme yapabilir misiniz ? >>>> >>>> ------------------------------------------------- >>>> Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - >>>> https://services.normshield.com/phishing-domain-search >>>> >>>> ------------------------------------------------- >>>> >>>> ------------------------------------------------- >>>> Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - >>>> https://services.normshield.com/phishing-domain-search >>>> >>>> ------------------------------------------------- >>> >>> ------------------------------------------------- >>> Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - >>> https://services.normshield.com/phishing-domain-search >>> >>> ------------------------------------------------- >> >> ------------------------------------------------- >> Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - >> https://services.normshield.com/phishing-domain-search >> >> ------------------------------------------------- > > ------------------------------------------------- > Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - > https://services.normshield.com/phishing-domain-search > > ------------------------------------------------- -- *Kayhan Kayıhan* Mail: [email protected] Web : http://www.kayhankayihan.com Phone(CA): +1 416 823 56 57 Phone(TR): +90 554 285 86 35
------------------------------------------------- Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search -------------------------------------------------
