ГлавнаяБаза уязвимостей БДУ → BDU:2019-00886
5высокая

BDU:2019-00886 (CVE-2018-11759)

Уязвимость коннектора Apache Tomcat JK (mod_jk) Connector веб-сервера Apache для движка сервлетов Tomcat Java, связанная с некорректной обработкой граничных условий, позволяющая нарушителю обойти установленный контроль доступа
Опубликовано: 2019-03-06
Описание

Уязвимость коннектора Apache Tomcat JK (mod_jk) Connector веб-сервера Apache Tomcat Web Server (httpd) для движка сервлетов Tomcat Java связана с некорректной обработкой граничных условий (в частности, фильтрация символа «;») при нормализации запрошенного пути и сопоставлении его с ассоциативным массивом URI-worker в mod_jk. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти установленный контроль доступа посредством специально сформированного вредоносного запроса

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Tomcat JK Connector (от 1.2.0 до 1.2.44 включительно)Debian GNU/Linux (8)Sun ZFS Storage Appliance Kit (8.8.6)
Способ устранения

Для Apache Tomcat JK (mod_jk) Connector:

Обновление программного обеспечения до 1.2.46 или более поздней версии



Для Debian:

Обновление программного обеспечения (пакета libapache-mod-jk) до 1:1.2.46-0+deb8u1 или более поздней версии

Для Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://lists.apache.org/thread.html/6d564bb0ab73d6b3efdd1d6b1c075d1a2c84ecd84a4159d6122529ad@<announce.tomcat.apache.org>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11759https://nvd.nist.gov/vuln/detail/CVE-2018-11759https://security-tracker.debian.org/tracker/CVE-2018-11759https://www.immunit.ch/blog/2018/11/01/cve-2018-11759-apache-mod_jk-access-bypass/https://github.com/immunIT/CVE-2018-11759https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.htmlhttps://www.oracle.com/security-alerts/cpujan2020.html
Проверьте безопасность своего сайта и почты → Полная проверка домена