Coraz więcej wiadomo o ogłoszonych w ubiegłym tygodniu podatnościach w Apache Tomcat. Najbardziej niebezpieczna z nich (CVE-2018-8037) posiada poziom w skali CVSS – 9.1, oznaczający krytyczne zagrożenie, co nie jest zbyt często spotykane. Wiadomo, że dotyczy ona współdzielenia wątków serwera przez różne połączenia. Możliwy jest zatem dostęp atakującego do sesji nawiązanej pomiędzy serwerem a ofiarą i kradzież informacji, które powinny być znane tylko obu uprawnionym stronom połączenia.
Wyjaśnijmy, że Apache Tomcat może pracować w 2-ch trybach: blokującym i nieblokującym. W pierwszy wypadku 1-n wątek obsługuje 1-ną sesję z klientem. W drugim pewna pula wątków dzieli się pracą nad grupą klientów – jest to tak zwane NIO (non-blocking IO). Właśnie użycie trybu NIO powoduje zagrożenie. W zależności od dystrybucji ten tryb może być – lub nie – domyślny. Najbezpieczniej zaktualizować Tomcata, także ze względu na inne ujawnione ostatnio podatności. Niniejsza podatność dotyczy Tomcatów w wersjach 9.0.0.M9 do 9.0.9 oraz 8.5.5 do 8.5.31.