ГлавнаяБаза уязвимостей БДУ → BDU:2020-03620
6.9высокая

BDU:2020-03620 (CVE-2020-9484)

Уязвимость компонента PersistenceManager сервера приложений Apache Tomcat, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-07-31
Описание

Уязвимость компонента PersistenceManager сервера приложений Apache Tomcat связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданного запроса

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Oracle Retail Order Broker (15.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Agile Engineering Data Management (6.2.1)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Jboss Fuse (7)Jboss Web Server (3.1 for RHEL 7)Jboss Web Server (3.1)Jboss Web Server (3.1 for RHEL 6)Debian GNU/Linux (10)OpenShift Application Runtimes (1.0)Jboss Web Server (5.3 on RHEL 6)Jboss Web Server (5.3 on RHEL 7)Jboss Web Server (5.3 on RHEL 8)Jboss Web Server ((JWS) 5.3)Tomcat (от 10.0.0-M1 до 10.0.0-M4 включительно)Tomcat (от 9.0.0.M1 до 9.0.34 включительно)Tomcat (от 8.5.0 до 8.5.54 включительно)Tomcat (от 7.0.0 до 7.0.103 включительно)Hyperion Infrastructure Technology (11.1.2.4)Siebel UI Framework (до 20.12 включительно)Альт 8 СПОСОН ОСнова Оnyx (до 2.6)РОСА ХРОМ (12.4)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-9484

Для Debian GNU/Linux:
https://www.debian.org/security/2020/dsa-4727

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00057.html

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u4.osnova1

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258

Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл6.9 — высокая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00057.htmlhttp://packetstormsecurity.com/files/157924/Apache-Tomcat-CVE-2020-9484-Proof-Of-Concept.htmlhttp://seclists.org/fulldisclosure/2020/Jun/6https://lists.apache.org/thread.html/r26950738f4b4ca2d256597cf391d52d3450fa665c297ea5ca38f5469@%3Cusers.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/r7bc247fffcb1d58415215c861d2354bd653c86266230d78a93c71ae2@%3Cdev.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/rb1c0fb105ce2b93b7ec6fc1b77dd208022621a91c12d1f580813cfed@%3Cdev.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/rf70f53af27e04869bdac18b1fc14a3ee529e59eb12292c8791a77926@%3Cusers.tomcat.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена