ГлавнаяБаза уязвимостей БДУ → BDU:2020-00937
10критическая

BDU:2020-00937 (CVE-2020-1938)

Уязвимость Apache Jserv Protocol - коннектора сервера приложений Apache Tomcat, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-03-10
Описание

Уязвимость Apache Jserv Protocol - коннектора сервера приложений Apache Tomcat связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Agile Engineering Data Management (6.2.1)OpenSUSE Leap (15.1)Fedora (30)Oracle Hospitality Guest Access (4.2.0)Oracle Hospitality Guest Access (4.2.1)Fedora (31)Tomcat (от 7.0.0 до 7.0.99 включительно)Tomcat (от 8.5.0 до 8.5.50 включительно)Tomcat (от 9.0.0 до 9.0.30 включительно)Fedora (32)Oracle Communications Element Manager (8.1.1)Oracle Communications Element Manager (8.2.0)Oracle Agile PLM (9.3.3)Oracle Agile PLM (9.3.5)Oracle Agile PLM (9.3.6)Oracle Communications Element Manager (8.2.1)MySQL Enterprise Monitor (до 4.0.12 включительно)MySQL Enterprise Monitor (до 8.0.20 включительно)Communications Instant Messaging Server (10.0.1.4.0)Oracle Health Sciences Empirica Inspections (1.0.1.2)Oracle Health Sciences Empirica Signal (7.3.3)Siebel UI Framework (до 20.5 включительно)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread.html/r75113652e46c4dee687236510649acfb70d2c63e074152049c3f399d@%3Cnotifications.ofbiz.apache.org%3E
https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r856cdd87eda7af40b50278d6de80ee4b42d63adeb433a34a7bdaf9db@%3Cnotifications.ofbiz.apache.org%3E

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=96534575

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L46WJIV6UV3FWA5O5YEY6XLA73RYD53B/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-1938/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-1938

Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://lists.apache.org/thread.html/r75113652e46c4dee687236510649acfb70d2c63e074152049c3f399d@%3Cnotifications.ofbiz.apache.org%3Ehttps://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/r856cdd87eda7af40b50278d6de80ee4b42d63adeb433a34a7bdaf9db@%3Cnotifications.ofbiz.apache.org%3Ehttps://nvd.nist.gov/vuln/detail/CVE-2020-1938https://www.oracle.com/security-alerts/cpujul2020.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L46WJIV6UV3FWA5O5YEY6XLA73RYD53B/https://www.suse.com/security/cve/CVE-2020-1938/https://security-tracker.debian.org/tracker/CVE-2020-1938
Проверьте безопасность своего сайта и почты → Полная проверка домена