9VSA21-00366-01 CSIRT comparte mitigaciones obtenidas de Apache Tomcat

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Apache, sobre una vulnerabilidad que afecta a Apache Tomcat.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidad

CVE-2021-24122

Impacto

Esta vulnerabilidad posibilita que, al entregar recursos desde una ubicación de red utilizando el sistema de archivos NTFS, sea posible evadir las restricciones de seguridad y ver el código fuente para los JSP, en algunas configuraciones.

Productos Afectados

Apache Tomcat 10.0.0-M1 a 10.0.0-M9.

Apache Tomcat 9.0.0.M1 a 9.0.39.

Apache Tomcat 8.5.0 a 8.5.59.

Apache Tomcat 7.0.0 a 7.0.106.

Mitigación

Instalar las actualizaciones desde el sitio del proveedor.

Enlaces

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html

https://tomcat.apache.org/security-7.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-24122

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00366-01