หลังจากก่อนหน้านี้มีการพบช่องโหว่ร้ายแรงใน Apache Struts2 ไปแล้ว มาคราวนี้เป็น Apache Tomcat กันบ้างครับ โดยช่องโหว่นี้รุนแรงถึงขั้น Remote Code Execution (RCE) เลยทีเดียว

เมื่อ Apache Tomcat รันบน Windows แล้ว Enable HTTP PUTS Method (ซึ่งโดยปกติมันไม่ได้เปิด) ทำให้มีความเป็นไปได้ที่จะทำให้เกิดช่องโหว่ที่ทำให้ Hacker สามารถ upload JSP file ใดๆขึ้นไปได้ ซึ่งนั่นก็คือ Attacker สามารถ upload backdoor ขึ้นไปได้นั่นเอง

ผลกระทบ: Remote Code Execution
ระบบที่ได้รับผลกระทบ: 7.0.0 to 7.0.79
วิธีการแก้ไข: Update เป็น 7.0.81

Source:: Apache