Уязвимость сервлета DefaultServlet сервера приложений Apache Tomcat связана с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Использование рекомендаций:
https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r
https://tomcat.apache.org/security-11.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security -9.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры:
- ограничение возможности загрузки JSP-файлов в каталоги сервера приложений с помощью сервлетов;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа к серверу приложений;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к серверу приложений и загрузки файлов;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u11.osnova2u1
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства:
https://altsp.su/obnovleniya-bezopasnosti/
https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для Libercat Certified:
Обновление ПО до актуальной версии
| Балл | 10 — критическая опасность |