ГлавнаяБаза уязвимостей БДУ → BDU:2024-11286
10критическая

BDU:2024-11286 (CVE-2024-50379)

Уязвимость сервлета DefaultServlet сервера приложений Apache Tomcat, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-12-18
Описание

Уязвимость сервлета DefaultServlet сервера приложений Apache Tomcat связана с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
РЕД ОС (7.3)Альт 8 СПАЛЬТ СП 10Tomcat (от 11.0.0-M1 до 11.0.1 включительно)Tomcat (от 10.1.0-M1 до 10.1.33 включительно)Tomcat (от 9.0.0.M1 до 9.0.97 включительно)ОСОН ОСнова Оnyx (до 2.12)Libercat Certified (до 9.0.107-1)Libercat Certified (до 10.1.43-1)
Способ устранения

Использование рекомендаций:
https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r
https://tomcat.apache.org/security-11.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security -9.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- ограничение возможности загрузки JSP-файлов в каталоги сервера приложений с помощью сервлетов;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа к серверу приложений;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к серверу приложений и загрузки файлов;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u11.osnova2u1



Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства:
https://altsp.su/obnovleniya-bezopasnosti/

https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для Libercat Certified:
Обновление ПО до актуальной версии

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80rhttps://tomcat.apache.org/security-11.htmlhttps://tomcat.apache.org/security-10.htmlhttps://tomcat.apache.org/security-9.htmlhttps://github.com/v3153/CVE-2024-50379-POChttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/http://www.openwall.com/lists/oss-security/2024/12/17/4http://www.openwall.com/lists/oss-security/2024/12/18/2
Проверьте безопасность своего сайта и почты → Полная проверка домена