ГлавнаяБаза уязвимостей БДУ → BDU:2024-03597
7.8высокая

BDU:2024-03597 (CVE-2022-45143)

Уязвимость класса JsonErrorReportValve сервера приложений Apache Tomcat, позволяющая нарушителю оказать влияние на целостность защищаемой информации
Опубликовано: 2024-05-13
Описание

Уязвимость класса JsonErrorReportValve сервера приложений Apache Tomcat связана с недостатком механизма кодирования или экранирования выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать влияние на целостность защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (11)РЕД ОС (7.3)Альт 8 СПОСОН ОСнова Оnyx (до 2.8)АЛЬТ СП 10Oracle Exadata (21.2.23.0.0 (Patch 35130088))Oracle Exadata (21.2.23.0.0 (Patch 35277269))Tomcat (8.5.83)Tomcat (от 9.0.40 до 9.0.69)Tomcat (от 10.1.0-M1 до 10.1.2)
Способ устранения

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread/yqkd183xrw3wqvnpcg3osbcryq85fkzj
https://github.com/apache/tomcat/commit/0cab3a56bd89f70e7481bb0d68395dc7e130dbbf
https://github.com/apache/tomcat/commit/b336f4e58893ea35114f1e4a415657f723b1298e
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-8.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-45143

Для Oracle Exadata:
Обновление до версии 21.2.24.0.0:
https://blogs.oracle.com/exadata/post/software-2023-may

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u6.osnova1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://lists.apache.org/thread/yqkd183xrw3wqvnpcg3osbcryq85fkzjhttps://security.gentoo.org/glsa/202305-37https://security-tracker.debian.org/tracker/CVE-2022-45143https://www.openwall.com/lists/oss-security/2023/01/03/1https://github.com/apache/tomcat/commit/0cab3a56bd89f70e7481bb0d68395dc7e130dbbfhttps://github.com/apache/tomcat/commit/b336f4e58893ea35114f1e4a415657f723b1298ehttps://tomcat.apache.org/tomcat-8.5-doc/api/org/apache/catalina/valves/JsonErrorReportValve.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
Проверьте безопасность своего сайта и почты → Полная проверка домена