Cuando se sirven recursos desde una ubicación de red utilizando el sistema de archivos NTFS, Apache Tomcat versiones 10.0.0-M1 a 10.0.0-M9, 9.0.0.M1 a 9.0.39, 8.5.0 a 8.5.59 y 7.0.0 a 7.0.106 fueron susceptibles a la divulgación del código fuente JSP en algunas configuraciones.
La causa principal fue el comportamiento inesperado de la API de JRE File.getCanonicalPath () que a su vez fue causado por el comportamiento incoherente de la API de Windows (FindFirstFileW) en algunas circunstancias.
Al servir recursos desde una ubicación de red utilizando el archivo NTFS sistema era posible eludir las restricciones de seguridad y / o ver el código fuente para JSP en algunas configuraciones. La causa fundamental fue la comportamiento inesperado de la API JRE File.getCanonicalPath () que en el giro fue causado por el comportamiento inconsistente de la API de Windows. (FindFirstFileW) en algunas circunstancias.
Mitigación:<7p>
Los usuarios de las versiones afectadas deben aplicar uno de los siguientes mitigaciones:
- Actualice a Apache Tomcat 10.0.0-M10 o posterior
- Actualice a Apache Tomcat 9.0.40 o posterior
- Actualice a Apache Tomcat 8.5.60 o posterior
- Actualice a Apache Tomcat 7.0.107 o posterior
Referencias:
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
