ГлавнаяБаза уязвимостей БДУ → BDU:2021-00506
7.8высокая

BDU:2021-00506

Уязвимость сервера приложений Apache Tomcat, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-02-02
Описание

Уязвимость сервера приложений Apache Tomcat связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированной последовательности запросов HTTP/2

Затрагиваемое ПО и версии
Debian GNU/Linux (9)OpenSUSE Leap (15.1)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Debian GNU/Linux (10)Ubuntu (20.04 LTS)OpenSUSE Leap (15.2)Siebel UI Framework (до 20.12 включительно)Tomcat (от 8.5.0 до 8.5.55 включительно)Tomcat (от 9.0.0 до 9.0.35 включительно)Tomcat (от 9.0.0 milestone1 до 9.0.0 milestone27 включительно)Tomcat (от 10.0.0 milestone1 до 10.0.0 milestone5 включительно)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread.html/r5541ef6b6b68b49f76fc4c45695940116da2bcbe0312ef204a00a2e0%40%3Cannounce.tomcat.apache.org%3E

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/07/msg00010.html
https://www.debian.org/security/2020/dsa-4727

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00064.html
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00072.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4596-1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.cybersecurity-help.cz/vdb/SB2020062701https://lists.apache.org/thread.html/r5541ef6b6b68b49f76fc4c45695940116da2bcbe0312ef204a00a2e0%40%3Cannounce.tomcat.apache.org%3Ehttps://lists.debian.org/debian-lts-announce/2020/07/msg00010.htmlhttps://www.debian.org/security/2020/dsa-4727https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00064.htmlhttps://lists.opensuse.org/opensuse-security-announce/2020-07/msg00072.htmlhttps://www.oracle.com/security-alerts/cpujan2021.htmlhttps://www.oracle.com/security-alerts/cpuoct2020.html
Проверьте безопасность своего сайта и почты → Полная проверка домена