Re: [NetsecTR] Apache Tomcat ZAFİYETi

Fri, 12 Oct 2018 01:26:40 -0700

 
Merhaba,
 
belki de Tomcat repodan kurmadiniz? Bize isletim sistemi mevcut Tomcat versiyonu kurulumu hakkinda bilgi verirseniz daha guzel olur.
Tomcat upgrade o kadar da dertli bir proses degil eger linux kullaniyorsaniz yeni tomcat versiyonunu indirin herhangi bir dizine acin tomcat servisini baslatin ve eski tomcat shutdown edip uzerindeki applicationu yeni tomcat surumune deploy edin.
 
@Kayhan'in verdigi url adresleri de guzelce anlatmis birisi debian birisi windows icin. Linux'da bu is yeni tomcat surumunu manual indirip herhangi bir dizine acip orada tomcat ayarlarini yaptiktan sonra eski tomcat'i kapatip yenisini up duruma getirerek ve app'leri deploy ederek yapilir.
 
Detay vermediginiz icin upgrade hakkinda yonerge paylasamiyoruz.
 
Ozgur
 
12.10.2018, 11:28, "Kayhan Kayihan" <[email protected]>:
Kullandığınız işletim sistemi sürüm ve versiyonu nedir?
 
Linux ise repo erişimi vs de sorun olmadığından emin olun.
 
Kullandığınız sürüm oldukça eski görünüyor, şu anki güncel sürüm 7.0.91.
 
Aşağıdaki iki upgrade sürecini anlatan linki incelemekte fayda var.
 
Bu arada bu sistem dışarıya açıksa ve kısa süre içerisinde upgrade edemeyecekseniz, readme ve http 404 hataları gibi ekranlar da sürüm bilgisini göstermeyecek şekilde yapılandırmanızda fayda var. Aksi taktirde bot'lar tarafından sürüm keşif edilebilir ve bazı saldırılara maruz kalabilirsiniz.
 
 
On Fri, Oct 12, 2018 at 2:33 AM Birkan Herdinç <[email protected]> wrote:
Merhaba,
Apache 7.0.76 kullanıyorum yum update tomcat dediğimde kendisini güncellemedi. Canlı çalışan bir sistem ve komple silip tekrar yüklemem mi gerekiyor ?
 
Kayhan Kayihan <[email protected]>, 11 Eki 2018 Per, 11:39 tarihinde şunu yazdı:
Birkan bey merhaba,
 
Bahsettiğiniz zafiyet CVE-2018-11784.
 
Bu vulnerability den etkilenen sürümler aşağıdaki gibi,
 
Apache Tomcat 9.0.0.M1 to 9.0.11
Apache Tomcat 8.5.0 to 8.5.33
Apache Tomcat 7.0.23 to 7.0.90
The unsupported 8.0.x release line has not been analysed but is likely
to be affected.
 
Apache nin sitesinden bu cve için durum nedir diye kontrol ettiğinizde bunun 10 Eylül deki patch ile kapatıldığını görebilirsiniz (v9 için) Apache tomcat 9.0.11 de zafiyet var ancak 9.0.12 de zafiyet kapatılmış.
 
Link:
 
Details:
 

Fixed in Apache Tomcat 9.0.12

Moderate: Open Redirect CVE-2018-11784

When the default servlet returned a redirect to a directory (e.g. redirecting to /foo/ when the user requested /foo) a specially crafted URL could be used to cause the redirect to be generated to any URI of the attackers choice.

This was fixed in revision 1840055.

This issue was reported to the Apache Tomcat Security Team by Sergey Bobrov on 28 August 2018 and made public on 3 October 2018.

Affects: 9.0.0.M1 to 9.0.11

 
On Thu, Oct 11, 2018, 3:10 AM Birkan Herdinç <[email protected]> wrote:
Şu an tüm sürümleri etkileniyor herhangi bir açık kapama söz konusu değil gibi ? Yanlışım mı var.
 
Okan Özdemir <[email protected]>, 10 Eki 2018 Çar, 15:09 tarihinde şunu yazdı:
Selamlar,
 
İlettiğiniz bildiride yazılımın hangi sürümlere güncellenmesi gerektiği yazılmış zaten. Nasıl bir “yama / paket” beklediğinizi anlayamadım.
 
Okan Özdemir

Birkan Herdinç <[email protected]> şunları yazdı (10 Eki 2018 14:00):
 
Herkese merhaba,
Tomcat servisini kullanan sunucular bu açık kullanılarak hacklenmektedir.
 
 
Zafiyet için herhangi bir yama ve paket çıkmamıştır, alınacak tedbirler nelerdir bilgilendirme yapabilir misiniz ?
-------------------------------------------------
Ücretsiz Phishing Domain Tespiti ve Alarm Servisi  - https://services.normshield.com/phishing-domain-search

-------------------------------------------------
-------------------------------------------------
Ücretsiz Phishing Domain Tespiti ve Alarm Servisi  - https://services.normshield.com/phishing-domain-search

-------------------------------------------------
-------------------------------------------------
Ücretsiz Phishing Domain Tespiti ve Alarm Servisi  - https://services.normshield.com/phishing-domain-search

-------------------------------------------------
-------------------------------------------------
Ücretsiz Phishing Domain Tespiti ve Alarm Servisi  - https://services.normshield.com/phishing-domain-search

-------------------------------------------------
-------------------------------------------------
Ücretsiz Phishing Domain Tespiti ve Alarm Servisi  - https://services.normshield.com/phishing-domain-search

------------------------------------------------- 
 
--
Kayhan Kayıhan
Mail: [email protected]
Web : http://www.kayhankayihan.com
Phone(CA): +1 416 823 56 57
Phone(TR): +90 554 285 86 35
,

-------------------------------------------------
Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search

-------------------------------------------------

-------------------------------------------------
Ücretsiz Phishing Domain Tespiti ve Alarm Servisi  - 
https://services.normshield.com/phishing-domain-search

-------------------------------------------------

Cevap