BDU:2020-03620: Уязвимость компонента PersistenceManager сервера приложений Apache Tomcat, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость компонента PersistenceManager сервера приложений Apache Tomcat связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданного запроса
Вендор Red Hat Inc., Oracle Corp., Novell Inc., Сообщество свободного программного обеспечения, Apache Software Foundation
Наименование ПО Red Hat Enterprise Linux, Instantis EnterpriseTrack, OpenSUSE Leap, Jboss Fuse, Jboss Web Server, OpenShift Application Runtimes, Debian GNU/Linux, Apache Tomcat
Версия ПО
  • 6 (Red Hat Enterprise Linux)
  • 7 (Red Hat Enterprise Linux)
  • 17.1 (Instantis EnterpriseTrack)
  • 17.2 (Instantis EnterpriseTrack)
  • 17.3 (Instantis EnterpriseTrack)
  • 8 (Red Hat Enterprise Linux)
  • 15.1 (OpenSUSE Leap)
  • 7 (Jboss Fuse)
  • 3.1 for RHEL 7 (Jboss Web Server)
  • 3.1 (Jboss Web Server)
  • 3.1 for RHEL 6 (Jboss Web Server)
  • 1.0 (OpenShift Application Runtimes)
  • 10.0 (Debian GNU/Linux)
  • 5.3 on RHEL 6 (Jboss Web Server)
  • 5.3 on RHEL 7 (Jboss Web Server)
  • 5.3 on RHEL 8 (Jboss Web Server)
  • (JWS) 5.3 (Jboss Web Server)
  • от 10.0.0-M1 до 10.0.0-M4 включительно (Apache Tomcat)
  • от 9.0.0.M1 до 9.0.34 включительно (Apache Tomcat)
  • от 8.5.0 до 8.5.54 включительно (Apache Tomcat)
  • от 7.0.0 до 7.0.103 включительно (Apache Tomcat)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 6
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Novell Inc. OpenSUSE Leap 15.1
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Тип ошибки Восстановление в памяти недостоверных данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 20.05.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-9484

Для Debian GNU/Linux:
https://www.debian.org/security/2020/dsa-4727

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00057.html
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00057.html
http://packetstormsecurity.com/files/157924/Apache-Tomcat-CVE-2020-9484-Proof-Of-Concept.html
http://seclists.org/fulldisclosure/2020/Jun/6
https://lists.apache.org/thread.html/r26950738f4b4ca2d256597cf391d52d3450fa665c297ea5ca38f5469@%3Cusers.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r7bc247fffcb1d58415215c861d2354bd653c86266230d78a93c71ae2@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/rb1c0fb105ce2b93b7ec6fc1b77dd208022621a91c12d1f580813cfed@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/rf70f53af27e04869bdac18b1fc14a3ee529e59eb12292c8791a77926@%3Cusers.tomcat.apache.org%3E
https://lists.debian.org/debian-lts-announce/2020/05/msg00020.html
https://lists.debian.org/debian-lts-announce/2020/05/msg00026.html
https://lists.debian.org/debian-lts-announce/2020/07/msg00010.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GIQHXENTLYUNOES4LXVNJ2NCUQQRF5VJ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WJ7XHKWJWDNWXUJH6UB7CLIW4TWOZ26N/
https://security.gentoo.org/glsa/202006-21
https://security.netapp.com/advisory/ntap-20200528-0005/
https://www.debian.org/security/2020/dsa-4727
https://www.oracle.com/security-alerts/cpujul2020.html
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения