BDU:2020-03568: Уязвимость функции mod_proxy_ftp сервера приложений Apache Tomcat, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость функции mod_proxy_ftp сервера приложений Apache Tomcat связана с использованием неинициализированного ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Вендор Canonical Ltd., Сообщество свободного программного обеспечения, Oracle Corp., Novell Inc., ООО «РусБИТех-Астра», Apache Software Foundation
Наименование ПО Ubuntu, Debian GNU/Linux, Instantis EnterpriseTrack, OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Oracle Communications Element Manager, Oracle Communications Session Report Manager, Oracle Communications Session Route Manager, Enterprise Manager Ops Center, Communications Instant Messaging Server, Apache HTTP Server
Версия ПО
  • 16.04 (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 9.0 (Debian GNU/Linux)
  • 17.1 (Instantis EnterpriseTrack)
  • 17.2 (Instantis EnterpriseTrack)
  • 17.3 (Instantis EnterpriseTrack)
  • 15.1 (OpenSUSE Leap)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 8.1.1 (Oracle Communications Element Manager)
  • 8.2.0 (Oracle Communications Element Manager)
  • 8.1.1 (Oracle Communications Session Report Manager)
  • 8.2.0 (Oracle Communications Session Report Manager)
  • 8.1.1 (Oracle Communications Session Route Manager)
  • 8.2.0 (Oracle Communications Session Route Manager)
  • 20.04 LTS (Ubuntu)
  • 20.10 (Ubuntu)
  • 8.2.1 (Oracle Communications Element Manager)
  • 8.2.1 (Oracle Communications Session Report Manager)
  • 8.2.1 (Oracle Communications Session Route Manager)
  • 12.4.0.0 (Enterprise Manager Ops Center)
  • 10.0.1.4.0 (Communications Instant Messaging Server)
  • от 2.4.0 до 2.4.41 включительно (Apache HTTP Server)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
  • Canonical Ltd. Ubuntu 16.04
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Novell Inc. OpenSUSE Leap 15.1
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Canonical Ltd. Ubuntu 14.04 ESM
  • ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
  • Canonical Ltd. Ubuntu 20.04 LTS
  • Canonical Ltd. Ubuntu 20.10
Тип ошибки Использование неинициализированного ресурса
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 24.02.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-1934/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-1934

Для Apache:
https://httpd.apache.org/security/vulnerabilities_24.html

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-1934.html

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения