ГлавнаяБаза уязвимостей БДУ → BDU:2019-04404
7.8высокая

BDU:2019-04404 (CVE-2019-10072)

Уязвимость сервера приложений Apache Tomcat, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2019-12-03
Описание

Уязвимость сервера приложений Apache Tomcat связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании в случае не отправки сообщения WINDOW_UPDATE для окна соединения (поток 0)

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Ubuntu (19.04)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)MICROS Relate CRM Software (11.4)Agile Engineering Data Management (6.2.0)Agile Engineering Data Management (6.2.1)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Jboss Web Server (5.0)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)Tomcat (от 9.0.0.M1 до 9.0.17 включительно)Tomcat (от 8.5.0 до 8.5.39 включительно)Tomcat (от 7.0.0 до 7.0.93 включительно)MySQL Enterprise Monitor (до 8.0.17 включительно)Communications Instant Messaging Server (10.0.1.3.0)Jboss Web Server (5.2 on RHEL 6)Jboss Web Server (5.2 on RHEL 7)Jboss Web Server (5.2 on RHEL 8)Oracle Communications Element Manager (8.0.0)Oracle Communications Element Manager (8.1.0)Oracle Communications Element Manager (8.1.1)
Способ устранения

Использование рекомендаций:
Обновление сервера приложений Apache Tomcat до версий 9.0.20, 8.5.40 или новее

Для OpenSUSE:
https://www.suse.com/security/cve/CVE-2019-10072/v

Для Oracle:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Ubuntu :
https://usn.ubuntu.com/4128-1/
https://usn.ubuntu.com/4128-2/

Для продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2019-10072

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://www.oracle.com/security-alerts/cpuoct2019.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-10072https://www.suse.com/security/cve/CVE-2019-10072/vhttps://www.oracle.com/security-alerts/cpuapr2020.htmlhttps://www.oracle.com/security-alerts/cpujan2020.htmlhttps://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.htmlhttps://usn.ubuntu.com/4128-1/
Проверьте безопасность своего сайта и почты → Полная проверка домена