ГлавнаяБаза уязвимостей БДУ → BDU:2020-01971
10критическая

BDU:2020-01971 (CVE-2019-17563)

Уязвимость формы аутентификации сервера приложений Apache Tomcat, связанная с недостатком механизма фиксации сеанса, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании и оказать воздействие на целостность данных
Опубликовано: 2020-05-07
Описание

Уязвимость формы аутентификации сервера приложений Apache Tomcat связана с недостатком механизма фиксации сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании и оказать воздействие на целостность данных

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Oracle Transportation Management (6.3.7)Oracle Retail Order Broker (15.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)MICROS Relate CRM Software (11.4)Agile Engineering Data Management (6.2.1)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Debian GNU/Linux (8)Jboss Web Server (3.1)Debian GNU/Linux (10)Jboss Web Server (3 for RHEL 6)Jboss Web Server (3 for RHEL 7)Jboss Web Server (5.3 on RHEL 6)Jboss Web Server (5.3 on RHEL 7)Jboss Web Server (5.3 on RHEL 8)Jboss Web Server ((JWS) 5.3)Tomcat (от 7.0.0 до 7.0.98 включительно)Tomcat (от 8.5.0 до 8.5.49 включительно)Tomcat (от 9.0.0 до 9.0.29 включительно)MySQL Enterprise Monitor (до 8.0.18.1217 включительно)MySQL Enterprise Monitor (до 4.0.11.5331 включительно)Hyperion Infrastructure Technology (11.1.2.4)
Способ устранения

Использование рекомендаций:
Для Apache:
https://lists.apache.org/thread.html/8b4c1db8300117b28a0f3f743c0b9e3f964687a690cdf9662a884bbd%40%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r3bbb800a816d0a51eccc5a228c58736960a9fffafa581a225834d97d@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r48c1444845fe15a823e1374674bfc297d5008a5453788099ea14caf0@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r6ccee4e849bc77df0840c7f853f6bd09d426f6741247da2b7429d5d9@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r9136ff5b13e4f1941360b5a309efee2c114a14855578c3a2cbe5d19c@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/raba0fabaf4d56d4325ab2aca8814f0b30a237ab83d8106b115ee279a@%3Cdev.tomcat.apache.org%3E

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-17563

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/01/msg00024.html
https://lists.debian.org/debian-lts-announce/2020/05/msg00026.html
https://www.debian.org/security/2019/dsa-4596
https://www.debian.org/security/2020/dsa-4680

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-17563/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для Ubuntu:
https://usn.ubuntu.com/4251-1/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2019-17563https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00013.htmlhttps://usn.ubuntu.com/4251-1/https://lists.apache.org/thread.html/8b4c1db8300117b28a0f3f743c0b9e3f964687a690cdf9662a884bbd%40%3Cannounce.tomcat.apache.org%3Ehttps://nvd.nist.gov/vuln/detail/CVE-2019-17563https://security-tracker.debian.org/tracker/CVE-2019-17563https://www.oracle.com/security-alerts/cpujul2020.htmlhttps://lists.debian.org/debian-lts-announce/2020/01/msg00024.html
Проверьте безопасность своего сайта и почты → Полная проверка домена