7.8высокая
BDU:2019-04404 (CVE-2019-10072)
Уязвимость сервера приложений Apache Tomcat, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2019-12-03
Описание
Уязвимость сервера приложений Apache Tomcat связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании в случае не отправки сообщения WINDOW_UPDATE для окна соединения (поток 0)
Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Ubuntu (19.04)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)MICROS Relate CRM Software (11.4)Agile Engineering Data Management (6.2.0)Agile Engineering Data Management (6.2.1)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Jboss Web Server (5.0)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)Tomcat (от 9.0.0.M1 до 9.0.17 включительно)Tomcat (от 8.5.0 до 8.5.39 включительно)Tomcat (от 7.0.0 до 7.0.93 включительно)MySQL Enterprise Monitor (до 8.0.17 включительно)Communications Instant Messaging Server (10.0.1.3.0)Jboss Web Server (5.2 on RHEL 6)Jboss Web Server (5.2 on RHEL 7)Jboss Web Server (5.2 on RHEL 8)Oracle Communications Element Manager (8.0.0)Oracle Communications Element Manager (8.1.0)Oracle Communications Element Manager (8.1.1)
Способ устранения
Использование рекомендаций:
Обновление сервера приложений Apache Tomcat до версий 9.0.20, 8.5.40 или новее
Для OpenSUSE:
https://www.suse.com/security/cve/CVE-2019-10072/v
Для Oracle:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для Ubuntu :
https://usn.ubuntu.com/4128-1/
https://usn.ubuntu.com/4128-2/
Для продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2019-10072
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи