کمیته رکن چهارم – شرکت نرمافزاری Apache اصلاحیههای امنیتی جدیدی را در راستای رفع آسیبپذیریهای Apache Tomcat منتشر کرده است.
این آسیبپذیری که با شناسه CVE-۲۰۲۰-۱۳۹۴۳ معرفی شده، دارای شدت متوسط (Moderate) است. در جدول زیر نسخههای مختلف تحت تأثیر آسیبپذیری به همراه اصلاحیه آنها آورده شده است.
آسیبپذیری CVE-۲۰۲۰-۱۳۹۴۳ از نوع HTTP/۲ Request mix-up است. با توجه به معماری پروتکل HTTP نسخه ۲.۰ که پاسخهای ارسال شده به کلاینت از طرف وبسرور قابلیت تقسیمبندی و ارسال موازی را دارند، این امکان وجود دارد که اگر تعداد درخواستهای موازی از حد مجاز توافق شده تخطی کند، بخشی از دنباله درخواستهای موازی صورت گرفته از سمت کاربر از طریق پروتکل HTTP نسخه ۱.۱ درخواست شود و در سرآیند درخواستها به جای HTTP نسخه ۲.۰ از HTTP نسخه ۱.۱ استفاده شود که در اینصورت پاسخهای ارسالی وبسرور Apache Tomcat به سایر کاربران با اخلال مواجه شده و کاربران پاسخهای صحیحی بهازای درخواستهای صورت گرفته به این وبسرور دریافت نمیکنند.
منبع : مرکز ماهر
