ГлавнаяБаза уязвимостей БДУ → BDU:2022-03434
7.8высокая

BDU:2022-03434 (CVE-2022-29885)

Уязвимость реализации класса EncryptInterceptor сервера приложений Apache Tomcat, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-06-14
Описание

Уязвимость реализации класса EncryptInterceptor сервера приложений Apache Tomcat связана с неполной документацией по выполнению программы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Debian GNU/Linux (9)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Red Hat Enterprise Linux (8)Red Hat JBoss Fuse (7)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Red Hat JBoss Fuse (6)Suse Linux Enterprise Server (15-LTSS)Red Hat Descision Manager (7)Red Hat JBoss Data Virtualization (6)JBoss Enterprise Application Platform (6)Suse Linux Enterprise Server (12 SP4 LTSS)Suse Linux Enterprise Server (12 SP4-ESPOS)Suse Linux Enterprise Server (15-ESPOS)Suse Linux Enterprise Server (15 SP1-LTSS)Debian GNU/Linux (11)РЕД ОС (7.3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP2)Альт 8 СПSuse Linux Enterprise Server (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Red Hat Enterprise Linux (9)Suse Linux Enterprise Server (15 SP2-LTSS)
Способ устранения

Использование рекомендаций производителей:

Для Apache Tomcat
https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-29885

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-29885

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-29885.html

Компенсирующие меры:
- организация канала связи альтернативным способом, например через VPN.

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u4.osnova1

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2697

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcvhttps://security-tracker.debian.org/tracker/CVE-2022-29885https://access.redhat.com/security/cve/cve-2022-29885https://www.suse.com/security/cve/CVE-2022-29885.htmlhttps://github.com/apache/tomcat/commit/eaafd28296c54d983e28a47953c1f5cb2c334f48https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена