Уязвимость BDU:2020-01971
Идентификатор: BDU:2020-01971.
Наименование уязвимости: Уязвимость формы аутентификации сервера приложений Apache Tomcat, связанная с недостатком механизма фиксации сеанса, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании и оказать воздействие на целостность данных.
Описание уязвимости: Уязвимость формы аутентификации сервера приложений Apache Tomcat связана с недостатком механизма фиксации сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании и оказать воздействие на целостность данных
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Canonical Ltd. Ubuntu 16.04 LTS | Операционная система Debian GNU/Linux 9 | Прикладное ПО информационных систем Oracle Corp. Oracle Transportation Management 6.3.7 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Order Broker 15.0 | Прикладное ПО информационных систем Oracle Corp. Instantis EnterpriseTrack 17.1 | Прикладное ПО информационных систем Oracle Corp. Instantis EnterpriseTrack 17.2 | Прикладное ПО информационных систем Oracle Corp. Instantis EnterpriseTrack 17.3 | Прикладное ПО информационных систем Oracle Corp. MICROS Relate CRM Software 11.4 | Прикладное ПО информационных систем Oracle Corp. Agile Engineering Data Management 6.2.1 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. OpenSUSE Leap 15.1 | СУБД Oracle Corp. Database Server 12.2.0.1 | СУБД Oracle Corp. Database Server 18c | СУБД Oracle Corp. Database Server 19c | Операционная система Debian GNU/Linux 8 | Прикладное ПО информационных систем Red Hat Inc. Jboss Web Server 3.1 | Операционная система Debian GNU/Linux 10 | Прикладное ПО информационных систем Red Hat Inc. Jboss Web Server 3 for RHEL 6 | Прикладное ПО информационных систем Red Hat Inc. Jboss Web Server 3 for RHEL 7 | Прикладное ПО информационных систем Red Hat Inc. Jboss Web Server 5.3 on RHEL 6 | Прикладное ПО информационных систем Red Hat Inc. Jboss Web Server 5.3 on RHEL 7 | Прикладное ПО информационных систем Red Hat Inc. Jboss Web Server 5.3 on RHEL 8 | Прикладное ПО информационных систем Red Hat Inc. Jboss Web Server (JWS) 5.3 | Сетевое программное средство Apache Software Foundation Tomcat от 7.0.0 до 7.0.98 включительно | Сетевое программное средство Apache Software Foundation Tomcat от 8.5.0 до 8.5.49 включительно | Сетевое программное средство Apache Software Foundation Tomcat от 9.0.0 до 9.0.29 включительно | Сетевое программное средство Oracle Corp. MySQL Enterprise Monitor до 8.0.18.1217 включительно | Сетевое программное средство Oracle Corp. MySQL Enterprise Monitor до 4.0.11.5331 включительно | Прикладное ПО информационных систем Oracle Corp. Hyperion Infrastructure Technology 11.1.2.4 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |
Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 7 | Ubuntu 1604 LTS | Debian GNU/Linux 9 | Red Hat Enterprise Linux 8 | OpenSUSE Leap 151 | Debian GNU/Linux 8 | Debian GNU/Linux 10 | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 06.12.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Использование рекомендаций:
Для Apache:
https://lists.apache.org/thread.html/8b4c1db8300117b28a0f3f743c0b9e3f964687a690cdf9662a884bbd%40%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r3bbb800a816d0a51eccc5a228c58736960a9fffafa581a225834d97d@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r48c1444845fe15a823e1374674bfc297d5008a5453788099ea14caf0@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r6ccee4e849bc77df0840c7f853f6bd09d426f6741247da2b7429d5d9@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r9136ff5b13e4f1941360b5a309efee2c114a14855578c3a2cbe5d19c@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/raba0fabaf4d56d4325ab2aca8814f0b30a237ab83d8106b115ee279a@%3Cdev.tomcat.apache.org%3E
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-17563
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/01/msg00024.html
https://lists.debian.org/debian-lts-announce/2020/05/msg00026.html
https://www.debian.org/security/2019/dsa-4596
https://www.debian.org/security/2020/dsa-4680
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-17563/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
Для Ubuntu:
https://usn.ubuntu.com/4251-1/
Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-17563.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/CVE-2019-17563
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00013.html
https://usn.ubuntu.com/4251-1/
https://lists.apache.org/thread.html/8b4c1db8300117b28a0f3f743c0b9e3f964687a690cdf9662a884bbd%40%3Cannounce.tomcat.apache.org%3E
https://nvd.nist.gov/vuln/detail/CVE-2019-17563
https://security-tracker.debian.org/tracker/CVE-2019-17563
https://www.oracle.com/security-alerts/cpujul2020.html
https://lists.debian.org/debian-lts-announce/2020/01/msg00024.html
https://lists.debian.org/debian-lts-announce/2020/05/msg00026.html
https://www.debian.org/security/2019/dsa-4596
https://www.debian.org/security/2020/dsa-4680
https://www.oracle.com/security-alerts/cpujan2021.html
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
