7.8высокая
BDU:2019-03108 (CVE-2018-8034)
Уязвимость компонента WebSocket client сервера приложений Apache Tomcat, связанная с ошибками при проверке имен хостов при использовании протокола Transport Layer Security (TLS), позволяющая нарушителю обойти существующие ограничения безопасности
Опубликовано: 2019-09-05
Описание
Уязвимость компонента WebSocket client сервера приложений Apache Tomcat связана с ошибками при проверке имен хостов при использовании протокола Transport Layer Security (TLS). Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, обойти существующие ограничения безопасности
Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)MySQL Enterprise Monitor (до 3.4.9.4237 включительно)MySQL Enterprise Monitor (до 4.0.6.5281 включительно)MySQL Enterprise Monitor (до 8.0.2.8191 включительно)Oracle Secure Global Desktop (5.4)Oracle Retail Order Broker (5.1)Oracle Retail Order Broker (5.2)Oracle Retail Order Broker (15.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Agile Engineering Data Management (6.2.0)Agile Engineering Data Management (6.2.1)Red Hat Enterprise Linux (8)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Debian GNU/Linux (8)JBoss Enterprise Application Platform (6.4)Tomcat (от 7.0.25 до 7.0.88 включительно)Tomcat (от 8.0.0 до 8.0.52 включительно)Tomcat (8.0.0 RC5)Tomcat (8.0.0 RC1)Tomcat (8.0.0 RC6)Tomcat (8.0.0 Rc10)Tomcat (8.0.0 RC7)Tomcat (8.0.0 RC2)
Способ устранения
Использование рекомендаций:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Для программных продуктов Apache Software Foundation:
http://mail-archives.us.apache.org/mod_mbox/www-announce/201807.mbox/%3C20180722091057.GA70283@minotaur.apache.org%3E
Для Ubuntu:
https://usn.ubuntu.com/3723-1/
Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4281
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-8034
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи