شرکت نرمافزاری Apache اصلاحیههای امنیتی جدیدی را در راستای رفع آسیبپذیریهای Apache Tomcat منتشر کرده است. این آسیب پذیری که با شناسه CVE-2020-13943 معرفی شده، دارای شدت متوسط (Moderate) است. در جدول زیر نسخههای مختلف تحت تأثیر آسیب پذیری، به همراه اصلاحیه آن ها آورده شده است.
آسیب پذیری CVE-2020-13943 از نوع HTTP/2 Request mix-up است. با توجه به معماری پروتکل HTTP نسخه 2.0 که پاسخ های ارسال شده به کلاینت از طرف وب سرور قابلیت تقسیم بندی و ارسال موازی را دارند، این امکان وجود دارد که اگر تعداد درخواست های موازی از حد مجاز توافق شده تخطی کند، بخشی از دنباله درخواست های موازی صورت گرفته از سمت کاربر از طریق پروتکل HTTP نسخه 1.1 درخواست گردد و در سرآیند درخواست ها به جای HTTP نسخه 2.0 از HTTP نسخه 1.1 استفاده گردد که در اینصورت پاسخ های ارسالی وب سرور Apache Tomcat به سایر کاربران با اخلال مواجه شده و کاربران پاسخ های صحیحی به ازای درخواست های صورت گرفته به این وب سرور دریافت نمی کنند.
منبع:
http://mail-archives.us.apache.org/mod_mbox/www-announce/202010.mbox/%3C2b767c6e-dcb9-5816-bd69-a3b…
- 44