Уязвимость BDU:2022-04494

Дата: 02.02.2016. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04494.

Наименование уязвимости: Уязвимость реализации Realm сервера приложений Apache Tomcat, связанная с раскрытием информации через несоответствие, позволяющая нарушителю определить все существующие имена пользователей.

Описание уязвимости: Уязвимость реализации Realm сервера приложений Apache Tomcat связана с раскрытием информации через несоответствие. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, определить все существующие имена пользователей
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux Server 7 | Операционная система Debian GNU/Linux 8.0 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Desktop 7.0 | Прикладное ПО информационных систем NetApp Inc. Oncommand Insight — | Операционная система Canonical Ltd. Ubuntu 16.04 ESM | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server AUS 7.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server EUS 7.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server TUS 7.6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Workstation 7.0 | Прикладное ПО информационных систем NetApp Inc. Snap Creator Framework — | Сетевое программное средство Apache Software Foundation Apache Tomcat от 9.0.0.M1 до 9.0.0.M9 включительно | Сетевое программное средство Apache Software Foundation Apache Tomcat от 8.5.0 до 8.5.4 включительно | Сетевое программное средство Apache Software Foundation Apache Tomcat от 8.0.0.RC1 до 8.0.36 включительно | Сетевое программное средство Apache Software Foundation Apache Tomcat от 7.0.0 до 7.0.70 включительно | Сетевое программное средство Apache Software Foundation Apache Tomcat от 6.0.0 до 6.0 .45 включительно | Прикладное ПО информационных систем Red Hat Inc. JBoss Enterprise Web Server 3.0.0 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server EUS 7.5 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server EUS 7.7 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server AUS 7.4 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server AUS 7.7 | Прикладное ПО информационных систем NetApp Inc. Oncommand Shift — | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Diameter Signaling Router (DSR) IDIH от 8.0.0 до 8.5.0 включительно | Прикладное ПО информационных систем Oracle Corp. Tekelec Platform Distribution от 7.4.0 до 7.7.1 включительно |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux Server 7 | Debian GNU/Linux 80 | Red Hat Enterprise Linux Desktop 70 | Ubuntu 1604 ESM | Red Hat Enterprise Linux Server AUS 76 | Red Hat Enterprise Linux Server EUS 76 | Red Hat Enterprise Linux Server TUS 76 | Red Hat Enterprise Linux Workstation 70 | Red Hat Enterprise Linux Server EUS 75 | Red Hat Enterprise Linux Server EUS 77 | Red Hat Enterprise Linux Server AUS 74 | Red Hat Enterprise Linux Server AUS 77 |
Дата выявления: 02.02.2016.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению:
Использование рекомендаций:
Для программных продуктов Red Hat Inc.:
http://rhn.redhat.com/errata/RHSA-2017-0457.html

Для Debian GNU/Linux:
http://www.debian.org/security/2016/dsa-3720

Для Apache Tomcat:
Обновление программного средства до актуальной версии

Для программных продуктов NetApp Inc:
https://security.netapp.com/advisory/ntap-20180605-0001/

Для Ubuntu:
https://usn.ubuntu.com/4557-1/

Для программных продуктов Oracle:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2021.html
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2016-0762.

Тип ошибки CWE: CWE-203
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2016-0762
http://rhn.redhat.com/errata/RHSA-2017-0457.html
http://www.debian.org/security/2016/dsa-3720
https://lists.apache.org/thread.html/1872f96bad43647832bdd84a408794cd06d9cbb557af63085ca10009@%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/343558d982879bf88ec20dbf707f8c11255f8e219e81d45c4f8d0551@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/37220405a377c0182d2afdbc36461c4783b2930fbeae3a17f1333113@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/388a323769f1dff84c9ec905455aa73fbcb20338e3c7eb131457f708@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/39ae1f0bd5867c15755a6f959b271ade1aea04ccdc3b2e639dcd903b@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/3d19773b4cf0377db62d1e9328bf9160bf1819f04f988315086931d7@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/845312a10aabbe2c499fca94003881d2c79fc993d85f34c1f5c77424@%3Cdev.tomcat.apache.org%3E С
https://lists.apache.org/thread.html/b5e3f51d28cd5d9b1809f56594f2cf63dcd6a90429e16ea9f83bbedc@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/b84ad1258a89de5c9c853c7f2d3ad77e5b8b2930be9e132d5cef6b95@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/b8a1bf18155b552dcf9a928ba808cbadad84c236d85eab3033662cfb@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r03c597a64de790ba42c167efacfa23300c3d6c9fe589ab87fe02859c@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r587e50b86c1a96ee301f751d50294072d142fd6dc08a8987ae9f3a9b@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r9136ff5b13e4f1941360b5a309efee2c114a14855578c3a2cbe5d19c@%3Cdev.tomcat.apache.org%3E
https://security.netapp.com/advisory/ntap-20180605-0001/
https://usn.ubuntu.com/4557-1/
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2021.html

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *