ГлавнаяБаза уязвимостей БДУ → BDU:2021-01013
5.8средняя

BDU:2021-01013 (CVE-2019-17569)

Уязвимость сервера приложений Apache Tomcat, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Опубликовано: 2021-03-02
Описание

Уязвимость сервера приложений Apache Tomcat связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Oracle Transportation Management (6.3.7)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Agile Engineering Data Management (6.2.1)OpenSUSE Leap (15.1)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Debian GNU/Linux (8)Oracle Hospitality Guest Access (4.2.0)Oracle Hospitality Guest Access (4.2.1)Debian GNU/Linux (10)Jboss Web Server (5.3 on RHEL 6)Jboss Web Server (5.3 on RHEL 7)Jboss Web Server (5.3 on RHEL 8)Jboss Web Server ((JWS) 5.3)Oracle Communications Element Manager (8.1.1)Oracle Communications Element Manager (8.2.0)Oracle Agile PLM (9.3.3)Oracle Agile PLM (9.3.5)Oracle Agile PLM (9.3.6)Oracle Communications Element Manager (8.2.1)Communications Instant Messaging Server (10.0.1.4.0)Oracle Health Sciences Empirica Inspections (1.0.1.2)Oracle Health Sciences Empirica Signal (7.3.3)Siebel UI Framework (до 20.5 включительно)Tomcat (от 7.0.98 до 7.0.99 включительно)Tomcat (от 8.5.48 до 8.5.50 включительно)
Способ устранения

Использование рекомендаций:
Для Apache:
https://lists.apache.org/thread.html/r7bc994c965a34876bd94d5ff15b4e1e30b6220a15eb9b47c81915b78@%3Ccommits.tomee.apache.org%3E
https://lists.apache.org/thread.html/r88def002c5c78534674ca67472e035099fbe088813d50062094a1390%40%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/rc31cbabb46cdc58bbdd8519a8f64b6236b2635a3922bbeba0f0e3743@%3Ccommits.tomee.apache.org%3E

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-17569
https://lists.debian.org/debian-lts-announce/2020/03/msg00006.html
https://www.debian.org/security/2020/dsa-4673
https://www.debian.org/security/2020/dsa-4680

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-17569

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00025.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
https://lists.apache.org/thread.html/r7bc994c965a34876bd94d5ff15b4e1e30b6220a15eb9b47c81915b78@%3Ccommits.tomee.apache.org%3Ehttps://lists.apache.org/thread.html/r88def002c5c78534674ca67472e035099fbe088813d50062094a1390%40%3Cannounce.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/rc31cbabb46cdc58bbdd8519a8f64b6236b2635a3922bbeba0f0e3743@%3Ccommits.tomee.apache.org%3Ehttps://security-tracker.debian.org/tracker/CVE-2019-17569https://lists.debian.org/debian-lts-announce/2020/03/msg00006.htmlhttps://www.debian.org/security/2020/dsa-4673https://www.debian.org/security/2020/dsa-4680https://www.oracle.com/security-alerts/cpujan2021.html
Проверьте безопасность своего сайта и почты → Полная проверка домена