ГлавнаяБаза уязвимостей БДУ → BDU:2019-03108
7.8высокая

BDU:2019-03108 (CVE-2018-8034)

Уязвимость компонента WebSocket client сервера приложений Apache Tomcat, связанная с ошибками при проверке имен хостов при использовании протокола Transport Layer Security (TLS), позволяющая нарушителю обойти существующие ограничения безопасности
Опубликовано: 2019-09-05
Описание

Уязвимость компонента WebSocket client сервера приложений Apache Tomcat связана с ошибками при проверке имен хостов при использовании протокола Transport Layer Security (TLS). Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, обойти существующие ограничения безопасности

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)MySQL Enterprise Monitor (до 3.4.9.4237 включительно)MySQL Enterprise Monitor (до 4.0.6.5281 включительно)MySQL Enterprise Monitor (до 8.0.2.8191 включительно)Oracle Secure Global Desktop (5.4)Oracle Retail Order Broker (5.1)Oracle Retail Order Broker (5.2)Oracle Retail Order Broker (15.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Agile Engineering Data Management (6.2.0)Agile Engineering Data Management (6.2.1)Red Hat Enterprise Linux (8)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Debian GNU/Linux (8)JBoss Enterprise Application Platform (6.4)Tomcat (от 7.0.25 до 7.0.88 включительно)Tomcat (от 8.0.0 до 8.0.52 включительно)Tomcat (8.0.0 RC5)Tomcat (8.0.0 RC1)Tomcat (8.0.0 RC6)Tomcat (8.0.0 Rc10)Tomcat (8.0.0 RC7)Tomcat (8.0.0 RC2)
Способ устранения

Использование рекомендаций:


Для программных продуктов Oracle Corp.:

https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html



Для программных продуктов Apache Software Foundation:

http://mail-archives.us.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722091057.GA70283@minotaur.apache.org%3E



Для Ubuntu:

https://usn.ubuntu.com/3723-1/



Для Debian GNU/Linux:

https://www.debian.org/security/2018/dsa-4281



Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2018-8034

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.htmlhttps://lists.apache.org/thread.html/1dd0a59c1295cc08ce4c9e7edae5ad2268acc9ba55adcefa0532e5ba@%3Cdev.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/343558d982879bf88ec20dbf707f8c11255f8e219e81d45c4f8d0551@%3Cdev.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/388a323769f1dff84c9ec905455aa73fbcb20338e3c7eb131457f708@%3Cdev.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/3d19773b4cf0377db62d1e9328bf9160bf1819f04f988315086931d7@%3Cdev.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/5c0e00fd31efc11e147bf99d0f03c00a734447d3b131ab0818644cdb@%3Cdev.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/6af47120905aa7d8fe12f42e8ff2284fb338ba141d3b77b8c7cb61b3@%3Cdev.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/845312a10aabbe2c499fca94003881d2c79fc993d85f34c1f5c77424@%3Cdev.tomcat.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена