ГлавнаяБаза уязвимостей БДУ → BDU:2021-03686
4средняя

BDU:2021-03686 (CVE-2021-30640)

Уязвимость реализации модуля JNDIRealm сервера приложений Apache Tomcat, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2021-07-20
Описание

Уязвимость реализации модуля JNDIRealm сервера приложений Apache Tomcat связана с недостатками механизма аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Red Hat JBoss Fuse (7)Jboss Web Server (5.0)OpenShift Application RuntimesTomcat (от 10.0.0-M1 до 10.0.5 включительно)Tomcat (от 9.0.0.M1 до 9.0.45 включительно)Tomcat (от 8.5.0 до 8.5.65 включительно)Tomcat (от 7.0.0 до 7.0.108 включительно)ОС ОН «Стрелец» (1.0)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОСОН ОСнова Оnyx (до 2.5)РОСА ХРОМ (12.4)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread.html/r59f9ef03929d32120f91f4ea7e6e79edd5688d75d0a9b65fd26d1fe8%40%3Cannounce.tomcat.apache.org%3E

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-30640

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovlenie

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОСОН Основа:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u3osnova1

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258

Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2021-30640https://lists.apache.org/thread.html/r59f9ef03929d32120f91f4ea7e6e79edd5688d75d0a9b65fd26d1fe8%40%3Cannounce.tomcat.apache.org%3Ehttps://access.redhat.com/security/cve/cve-2021-30640https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovleniehttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена