ГлавнаяБаза уязвимостей БДУ → BDU:2020-04938
7.8высокая

BDU:2020-04938 (CVE-2020-13935)

Уязвимость сервера приложений Apache Tomcat, связанная с выполнением цикла с недоступным условием выхода, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-11-02
Описание

Уязвимость сервера приложений Apache Tomcat связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Database (12.2.0.1)Database (18c)Managed File Transfer (12.2.1.3.0)Oracle Retail Order Broker (15.0)Agile Engineering Data Management (6.2.1)OpenSUSE Leap (15.1)Database (19c)JBoss Enterprise Application Platform (6.4)Jboss Fuse (7)Jboss Web Server (3.1)Debian GNU/Linux (10)OpenShift Application Runtimes (1.0)Jboss Web Server (3 for RHEL 6)Jboss Web Server (3 for RHEL 7)Red Hat OpenStack Platform (13.0 (Queens))Jboss Web Server (5.3 on RHEL 6)Jboss Web Server (5.3 on RHEL 7)Jboss Web Server (5.3 on RHEL 8)Jboss Web Server ((JWS) 5.3)Managed File Transfer (12.2.1.4.0)Jboss Fuse (6)OpenSUSE Leap (15.2)JBoss Enterprise Application Platform (6.4 for RHEL 5)JBoss Enterprise Application Platform (6.4 for RHEL 6)JBoss Enterprise Application Platform (6.4 for RHEL 7)Tomcat (до 10.0.0-M7)
Способ устранения

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread.html/rd48c72bd3255bda87564d4da3791517c074d94f8a701f93b85752651%40%3Cannounce.tomcat.apache.org%3E

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-13935

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-13935
https://lists.debian.org/debian-lts-announce/2020/07/msg00017.html

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00084.html
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00088.html

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4448-1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://lists.apache.org/thread.html/rd48c72bd3255bda87564d4da3791517c074d94f8a701f93b85752651%40%3Cannounce.tomcat.apache.org%3Ehttps://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://access.redhat.com/security/cve/cve-2020-13935https://security-tracker.debian.org/tracker/CVE-2020-13935https://lists.debian.org/debian-lts-announce/2020/07/msg00017.htmlhttps://lists.opensuse.org/opensuse-security-announce/2020-07/msg00084.htmlhttps://lists.opensuse.org/opensuse-security-announce/2020-07/msg00088.htmlhttps://ubuntu.com/security/notices/USN-4448-1
Проверьте безопасность своего сайта и почты → Полная проверка домена