Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-00937: Уязвимость Apache Jserv Protocol - коннектора сервера приложений Apache Tomcat, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость Apache Jserv Protocol - коннектора сервера приложений Apache Tomcat связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Oracle Corp., Novell Inc., Fedora Project, Apache Software Foundation, АО «Концерн ВНИИНС»
Наименование ПО	Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Agile Engineering Data Management, OpenSUSE Leap, Fedora, Oracle Hospitality Guest Access, Apache Tomcat, Oracle Communications Element Manager, Oracle Agile PLM, MySQL Enterprise Monitor, Communications Instant Messaging Server, Oracle Health Sciences Empirica Inspections, Oracle Health Sciences Empirica Signal, Siebel UI Framework, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 6.2.1 (Agile Engineering Data Management) 15.1 (OpenSUSE Leap) 30 (Fedora) 4.2.0 (Oracle Hospitality Guest Access) 4.2.1 (Oracle Hospitality Guest Access) 31 (Fedora) от 7.0.0 до 7.0.99 включительно (Apache Tomcat) от 8.5.0 до 8.5.50 включительно (Apache Tomcat) от 9.0.0 до 9.0.30 включительно (Apache Tomcat) 32 (Fedora) 8.1.1 (Oracle Communications Element Manager) 8.2.0 (Oracle Communications Element Manager) 9.3.3 (Oracle Agile PLM) 9.3.5 (Oracle Agile PLM) 9.3.6 (Oracle Agile PLM) 8.2.1 (Oracle Communications Element Manager) до 4.0.12 включительно (MySQL Enterprise Monitor) до 8.0.20 включительно (MySQL Enterprise Monitor) 10.0.1.4.0 (Communications Instant Messaging Server) 1.0.1.2 (Oracle Health Sciences Empirica Inspections) 7.3.3 (Oracle Health Sciences Empirica Signal) до 20.5 включительно (Siebel UI Framework) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Novell Inc. OpenSUSE Leap 15.1 Fedora Project Fedora 30 Fedora Project Fedora 31 АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Недостаточная проверка вводимых данных
Идентификатор типа ошибки	CWE-20
Класс уязвимости	Уязвимость кода
Дата выявления	24.02.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Apache Tomcat: https://lists.apache.org/thread.html/r75113652e46c4dee687236510649acfb70d2c63e074152049c3f399d@%3Cnotifications.ofbiz.apache.org%3E https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E https://lists.apache.org/thread.html/r856cdd87eda7af40b50278d6de80ee4b42d63adeb433a34a7bdaf9db@%3Cnotifications.ofbiz.apache.org%3E Для Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=96534575 Для программных продуктов Oracle: https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/security-alerts/cpuoct2020.html https://www.oracle.com/security-alerts/cpujan2021.html Для Fedora Project: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L46WJIV6UV3FWA5O5YEY6XLA73RYD53B/ Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2020-1938/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-1938 Для ОС ОН «Стрелец»: Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://lists.apache.org/thread.html/r75113652e46c4dee687236510649acfb70d2c63e074152049c3f399d@%3Cnotifications.ofbiz.apache.org%3E https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E https://lists.apache.org/thread.html/r856cdd87eda7af40b50278d6de80ee4b42d63adeb433a34a7bdaf9db@%3Cnotifications.ofbiz.apache.org%3E https://nvd.nist.gov/vuln/detail/CVE-2020-1938 https://www.oracle.com/security-alerts/cpujul2020.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L46WJIV6UV3FWA5O5YEY6XLA73RYD53B/ https://www.suse.com/security/cve/CVE-2020-1938/ https://security-tracker.debian.org/tracker/CVE-2020-1938 https://www.oracle.com/security-alerts/cpuoct2020.html https://www.oracle.com/security-alerts/cpujan2021.html https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-1938
Прочая информация	Данные уточняются

Последние изменения