ГлавнаяБаза уязвимостей БДУ → BDU:2017-01545
7.5высокая

BDU:2017-01545

Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2017-06-30
Описание

Уязвимость сервера приложений Apache Tomcat связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код, если используется обработчик JmxRemoteLifecycleListener и нарушитель может получить доступ к портам JMX. Эта проблема существует из-за того, что обработчик не был обновлен в соответствии с уязвимостью CVE-2016-3427 патча Oracle, которая затрагивала учетные типы.

Затрагиваемое ПО и версии
Tomcat (до 6.0.48)Tomcat (7.0.73)Tomcat (8.0.0-RC11)Tomcat (8.0.0 Rc11)Tomcat (8.0.39)Tomcat (8.5.7)Tomcat (9.0.0.M12)
Способ устранения

Использование рекомендаций: http://seclists.org/oss-sec/2016/q4/502
http://svn.apache.org/viewvc?view=revision&revision=1767644
http://svn.apache.org/viewvc?view=revision&revision=1767656
http://svn.apache.org/viewvc?view=revision&revision=1767676
http://svn.apache.org/viewvc?view=revision&revision=1767684
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-8.html
http://tomcat.apache.org/security-9.html
http://www.securityfocus.com/bid/94463

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
http://seclists.org/oss-sec/2016/q4/502http://svn.apache.org/viewvc?view=revision&revision=1767644http://svn.apache.org/viewvc?view=revision&revision=1767656http://svn.apache.org/viewvc?view=revision&revision=1767676http://svn.apache.org/viewvc?view=revision&revision=1767684http://tomcat.apache.org/security-6.htmlhttp://tomcat.apache.org/security-7.htmlhttp://tomcat.apache.org/security-8.html
Проверьте безопасность своего сайта и почты → Полная проверка домена