ГлавнаяБаза уязвимостей БДУ → BDU:2020-01021
4.3средняя

BDU:2020-01021 (CVE-2019-0221)

Уязвимость команды printenv сервера приложений Apache Tomcat, позволяющая нарушителю осуществить межсайтовую сценарную атаку
Опубликовано: 2020-03-13
Описание

Уязвимость команды printenv сервера приложений Apache Tomcat связана с неприятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовую сценарную атаку

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Fedora (29)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (7)Tomcat (от 9.0.0.M1 до 9.0.17 включительно)Tomcat (от 8.5.0 до 8.5.39 включительно)Tomcat (от 7.0.0 до 7.0.93 включительно)Workload Manager (12.2.0.1)Workload Manager (18c)Workload Manager (19c)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций производителя:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html

Для Apache Software Foundation:
https://lists.apache.org/thread.html/6e6e9eacf7b28fd63d249711e9d3ccd4e0a83f556e324aee37be5a8c@%3Cannounce.tomcat.apache.org%3E

Для Debian:
https://lists.debian.org/debian-lts-announce/2019/05/msg00044.html

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NPHQEL5AQ6LZSZD2Y6TYZ4RC3WI7NXJ3/

Для программных продуктов Canonical Ltd.:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-0221.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-0221https://lists.apache.org/thread.html/6e6e9eacf7b28fd63d249711e9d3ccd4e0a83f556e324aee37be5a8c@%3Cannounce.tomcat.apache.org%3Ehttps://lists.debian.org/debian-lts-announce/2019/05/msg00044.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NPHQEL5AQ6LZSZD2Y6TYZ4RC3WI7NXJ3/https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-0221.htmlhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена