9.3высокая
BDU:2019-04405 (CVE-2019-0232)
Уязвимость сервера приложений Apache Tomcat, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-12-03
Описание
Уязвимость сервера приложений Apache Tomcat существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код из-за включенного по умолчанию параметра enableCmdLineArguments сервлета CGI
Затрагиваемое ПО и версии
Oracle Transportation Management (6.3.7)Oracle Retail Order Broker (5.2)Oracle Retail Order Broker (15.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)MICROS Relate CRM Software (11.4)Tomcat (от 9.0.0.M1 до 9.0.17 включительно)Tomcat (от 8.5.0 до 8.5.39 включительно)Tomcat (от 7.0.0 до 7.0.93 включительно)Supply Chain Management (от 9.3.3 до 9.3.6 включительно)
Способ устранения
Обновление сервера приложений Apache Tomcat до версий 9.0.19, 9.0.18, 8.5.40, 7.0.94.
Использование рекомендаций производителя для программных средств Oracle:
https://www.oracle.com/security-alerts/cpuoct2019.html
https://www.oracle.com/security-alerts/cpujul2019.html
Оценка CVSS
| Балл | 9.3 — высокая опасность |
Источники и патчи