СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Уязвимости
ФСТЭК России
23.06.2022
#Dev#ИБ#Инфра

Уязвимость BDU:2022-03746

Уязвимость BDU:2022-03746

Идентификатор: BDU:2022-03746.

Наименование уязвимости: Уязвимость в примерах проверки подлинности с помощью форм в примерах веб-приложений сервера приложений Apache Tomcat, позволяющая нарушителю провести атаку межсайтового скриптинга.

Описание уязвимости: Уязвимость в примерах проверки подлинности с помощью форм в примерах веб-приложений сервера приложений Apache Tomcat существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS)
Уязвимое ПО: Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система АО «ИВК» Альт 8 СП — | Сетевое программное средство Apache Software Foundation Apache Tomcat от 10.1.0-M1 до 10.1.0-M17 | Сетевое программное средство Apache Software Foundation Apache Tomcat от 10.0.0-M1 до 10.0.23 | Сетевое программное средство Apache Software Foundation Apache Tomcat от 9.0.30 до 9.0.65 | Сетевое программное средство Apache Software Foundation Apache Tomcat от 8.5.50 до 8.5.82 | Операционная система АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4 | Операционная система АО «ИВК» АЛЬТ СП 10 — |

Наименование ОС и тип аппаратной платформы: РЕД ОС 73 | Альт 8 СП — | РОСА ХРОМ 124 | АЛЬТ СП 10 — |
Дата выявления: 23.06.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению:
Обновление сервера приложений Apache Tomcat до версий:10.1.0-M17, 10.0.23, 9.0.65, 8.5.82 или выше

Компенсирующие меры:
Удалите примеры веб-приложения, как описано в
руководстве по безопасности Tomcat.

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-34305.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.openwall.com/lists/oss-security/2022/06/23/1
https://lists.apache.org/thread/k04zk0nq6w57m72w5gb0r6z9ryhmvr4k
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://altsp.su/obnovleniya-bezopasnosti/
https://altsp.su/obnovleniya-bezopasnosti/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: