ГлавнаяБаза уязвимостей БДУ → BDU:2019-01767
4.3средняя

BDU:2019-01767

Уязвимость сервера приложений Apache Tomcat, связанная с использованием открытой переадресации, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
Опубликовано: 2019-05-16
Описание

Уязвимость сервлета по умолчанию сервера приложений Apache Tomcat связана с использованием открытой переадресации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на целостность защищаемой информации

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Red Hat Enterprise Linux (7.0)Fedora (28)Oracle Secure Global Desktop (5.4)Oracle Retail Order Broker (5.1)Oracle Retail Order Broker (5.2)Oracle Retail Order Broker (15.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)MICROS Relate CRM Software (11.4)Tomcat (от 8.5.0 до 8.5.33 включительно)Tomcat (от 7.0.23 до 7.0.90 включительно)Agile Engineering Data Management (6.2.0)Agile Engineering Data Management (6.2.1)Red Hat Enterprise Linux (8.0)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Enterprise Security Manager (11.1.3)Debian GNU/Linux (8)Communications Instant Messaging Server (10.0.1)Jboss Web Server (3.1)Jboss Web Server (5.0 on RHEL 6)Jboss Web Server (5.0)Jboss Web Server (5.0 on RHEL 7)
Способ устранения

Использование рекомендаций:
Для Apache:
https://lists.apache.org/thread.html/eb6efa8d59c45a7a9eff94c4b925467d3b3fec8ba7697f3daa314b04@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/b5e3f51d28cd5d9b1809f56594f2cf63dcd6a90429e16ea9f83bbedc@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/5c0e00fd31efc11e147bf99d0f03c00a734447d3b131ab0818644cdb@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/388a323769f1dff84c9ec905455aa73fbcb20338e3c7eb131457f708@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/23134c9b5a23892a205dc140cdd8c9c0add233600f76b313dda6bd75@%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/343558d982879bf88ec20dbf707f8c11255f8e219e81d45c4f8d0551@%3Cdev.tomcat.apache.org%3E

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00030.html
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00056.html

Для McAfee Enterprise Security Manager:
https://kc.mcafee.com/corporate/index?page=content&id=SB10284

Для Debian:
https://lists.debian.org/debian-lts-announce/2018/10/msg00005.html
https://lists.debian.org/debian-lts-announce/2018/10/msg00006.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BZ4PX4B3QTKRM35VJAVIEOPZAF76RPBP/

Для Ubuntu:
https://usn.ubuntu.com/3787-1/

Для программных продуктов Oracle:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/security-alerts/cpuoct2019.html
https://www.oracle.com/security-alerts/cpujan2020.html

Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2018-11784

Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00030.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-07/msg00056.htmlhttp://www.securityfocus.com/bid/105524https://access.redhat.com/errata/RHSA-2019:0130https://access.redhat.com/errata/RHSA-2019:0131https://access.redhat.com/errata/RHSA-2019:0485https://access.redhat.com/errata/RHSA-2019:1529https://kc.mcafee.com/corporate/index?page=content&id=SB10284
Проверьте безопасность своего сайта и почты → Полная проверка домена