Apache Software Foundation 發布了新版本的 Apache Tomcat Native以應對不正確地處理無效的線上證書狀態通訊規約 (OCSP) 回應而引致的多個漏洞。這些漏洞讓攻擊者可在TLS連線時使用已撤銷的證書進行身分驗證。
成功利用這些漏洞可以導致控制受影響的系統。
系統管理員應將 Apache Tomcat Native版本升級以應對以上問題。更新版本可從以下網址下載:
http://tomcat.apache.org/security-native.html#Fixed_in_Apache_Tomcat_Native_Connector_1.2.17
受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
http://tomcat.apache.org/security-native.html#Fixed_in_Apache_Tomcat_Native_Connector_1.2.17
https://www.hkcert.org/my_url/zh/alert/18082002
https://www.us-cert.gov/ncas/current-activity/2018/08/17/Apache-Releases-Security-Updates-Tomcat-Native
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8019
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8020