ГлавнаяБаза уязвимостей БДУ → BDU:2016-00541
4средняя

BDU:2016-00541

Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю обойти ограничения проверки подлинности
Опубликовано: 2016-03-11
Описание

Уязвимость функции RequestUtil.java сервера приложений Apache Tomcat связана с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения проверки подлинности (SecurityManager) при помощи символов "/.." в имени пути, используемого веб-приложением в вызовах getResource, getResourceAsStream, getResourcePaths

Затрагиваемое ПО и версии
Tomcat (от 6.0.0 до 6.0.45)Tomcat (от 7.0.0 до 7.0.65)Tomcat (от 8.0.0 до 8.0.27)
Способ устранения

Обновление сетевого программного средства до версий 6.0.45, 7.0.65, 8.0.27 или более новой

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
http://tomcat.apache.org/security-8.htmlhttp://tomcat.apache.org/security-7.htmlhttp://tomcat.apache.org/security-6.htmlhttp://svn.apache.org/viewvc?view=revision&revision=1700900http://svn.apache.org/viewvc?view=revision&revision=1700898http://svn.apache.org/viewvc?view=revision&revision=1700897http://svn.apache.org/viewvc?view=revision&revision=1696284http://svn.apache.org/viewvc?view=revision&revision=1696281
Проверьте безопасность своего сайта и почты → Полная проверка домена