ГлавнаяБаза уязвимостей БДУ → BDU:2023-01045
9.3высокая

BDU:2023-01045

Уязвимость сервера приложений Apache Tomcat, связанная с отсутствием ограничений на загрузку файлов, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-03-06
Описание

Уязвимость сервера приложений Apache Tomcat связана с отсутствием ограничений на загрузку файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально созданного JSP файла

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (17.10)Ubuntu (18.04 LTS)WebCenter Sites (11.1.1.8.0)Oracle Transportation Management (6.3.7)Oracle Endeca Information Discovery Integrator (3.2.0)Oracle Endeca Information Discovery Integrator (3.1.0)Oracle Retail Order Broker (15.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)FMW Platform (12.2.1.3.0)Communications Application Session Controller (3.7.1)Communications Application Session Controller (3.8.0)Ubuntu (14.04 ESM)Oracle Hospitality Guest Access (4.2.0)Oracle Hospitality Guest Access (4.2.1)Oracle Agile PLM (9.3.3)Oracle Agile PLM (9.3.5)Oracle Agile PLM (9.3.6)Oracle Agile PLM (9.3.4)Oracle Retail Order Broker (5.0)Ubuntu (16.04 ESM)MICROS Retail XBRi Loss Prevention (10.0.1)MICROS Retail XBRi Loss Prevention (10.5.0)MICROS Retail XBRi Loss Prevention (10.6.0)MICROS Retail XBRi Loss Prevention (10.7.0)MICROS Retail XBRi Loss Prevention (10.8.0)MICROS Retail XBRi Loss Prevention (10.8.1)Tomcat (от 9.0.0.M1 до 9.0.0 включительно)
Способ устранения

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread.html/3fd341a604c4e9eab39e7eaabbbac39c30101a022acc11dd09d7ebcb@%3Cannounce.tomcat.apache.org%3E

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2017-12617?extIdCarryOver=true&sc_cid=701f2000001OH6kAAG

Для Ubuntu:
https://ubuntu.com/security/notices/USN-3665-1

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2018.html
https://www.oracle.com/security-alerts/cpujan2018.html
https://www.oracle.com/security-alerts/cpujul2018.html
https://www.oracle.com/security-alerts/cpuapr2019.html

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://www.ibm.com/blogs/psirt/security-bulletin-cloud-pak-for-security-contains-packages-that-have-multiple-vulnerabilities/http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.htmlhttp://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.htmlhttp://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.htmlhttp://www.securityfocus.com/bid/100954http://www.securitytracker.com/id/1039552https://access.redhat.com/errata/RHSA-2017:3080https://access.redhat.com/errata/RHSA-2017:3081
Проверьте безопасность своего сайта и почты → Полная проверка домена