ГлавнаяБаза уязвимостей БДУ → BDU:2024-07738
7.8высокая

BDU:2024-07738 (CVE-2024-38286)

Уязвимость реализации протокола TLS cервера приложений Apache Tomcat, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-10-04
Описание

Уязвимость реализации протокола TLS cервера приложений Apache Tomcat связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Альт 8 СПRed Hat Enterprise Linux (9)Red Hat JBoss Web Server (5)РОСА ХРОМ (12.4)АЛЬТ СП 10Red Hat JBoss Web Server (6)Red Hat JBoss Web Server (6.0 on RHEL 8)Red Hat JBoss Web Server (6.0 on RHEL 9)Tomcat (от 9.0.13 до 9.0.89 включительно)Tomcat (от 10.1.0-M1 до 10.1.24 включительно)Tomcat (от 11.0.0-M1 до 11.0.0-M20 включительно)Red Hat JBoss Web Server (5.8 on RHEL 7)Red Hat JBoss Web Server (5.8 on RHEL 8)Red Hat JBoss Web Server (5.8 on RHEL 9)ОСОН ОСнова Оnyx (до 2.12)Libercat Certified (до 9.0.91-2)Libercat Certified (до 10.1.26-2)
Способ устранения

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread/bk6k97ps0mcdw7nv6c1rpoyh8kn9cj93
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-11.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-38286

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-38286

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-38286.html

Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u11.osnova2u1

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2914

Для Libercat Certified:
Обновление ПО до актуальной версии

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://lists.apache.org/thread/bk6k97ps0mcdw7nv6c1rpoyh8kn9cj93https://tomcat.apache.org/security-9.htmlhttps://tomcat.apache.org/security-10.htmlhttps://tomcat.apache.org/security-11.htmlhttps://securityonline.info/cve-2024-38286-denial-of-service-vulnerability-discovered-in-apache-tomcat/https://vuldb.com/?id.278287https://github.com/apache/tomcat/commit/76c5cce6f0bcef14b0c21c38910371ca7d322d13https://github.com/apache/tomcat/commit/3344c17cef094da4bb616f4186ed32039627b543
Проверьте безопасность своего сайта и почты → Полная проверка домена