Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-02010: Уязвимость сервера приложений Apache TomEE, связанная с ошибками аутентификации, позволяющая нарушителю повысить свои привилегии, выполнить произвольный код или вызвать отказ в обслуживании

Описание уязвимости	Уязвимость сервера приложений Apache TomEE связана с ошибками аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии, выполнить произвольный код или вызвать отказ в обслуживании
Вендор	Apache Software Foundation
Наименование ПО	Apache TomEE
Версия ПО	от 7.1.0 до 7.1.2 включительно от 7.0.0-M1 до 7.0.7 включительно от 1.0.0 до 1.7.5 включительно от 8.0.0 M1 до 8.0.1 включительно
Тип ПО	Сетевое программное средство
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неправильная аутентификация
Идентификатор типа ошибки	CWE-287
Класс уязвимости	Уязвимость архитектуры
Дата выявления	15.06.2020
Базовый вектор уязвимости	AV:N/AC:M/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://lists.apache.org/thread.html/r85b87478f8aa4751aa3a06e88622e80ffabae376ee7283e147ee56b9@%3Cdev.tomee.apache.org%3E https://lists.apache.org/thread.html/rbd23418646dedda70a546331ea1c1d115b8975b7e7dc452d10e2e773%40%3Cdev.tomee.apache.org%3E https://lists.apache.org/thread.html/rbd23418646dedda70a546331ea1c1d115b8975b7e7dc452d10e2e773@%3Cannounce.apache.org%3E https://lists.apache.org/thread.html/ref088c4732e1a8dd0bbbb96e13ffafcfe65f984238ffa55f438d78fe@%3Cdev.tomee.apache.org%3E https://lists.apache.org/thread.html/ref088c4732e1a8dd0bbbb96e13ffafcfe65f984238ffa55f438d78fe@%3Cusers.tomee.apache.org%3E
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение аутентификации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://cxsecurity.com/cveshow/CVE-2020-11969/ http://www.openwall.com/lists/oss-security/2020/12/16/2 Mailing List Third Party Advisory https://lists.apache.org/thread.html/r85b87478f8aa4751aa3a06e88622e80ffabae376ee7283e147ee56b9@%3Cdev.tomee.apache.org%3E https://lists.apache.org/thread.html/rbd23418646dedda70a546331ea1c1d115b8975b7e7dc452d10e2e773%40%3Cdev.tomee.apache.org%3E https://lists.apache.org/thread.html/rbd23418646dedda70a546331ea1c1d115b8975b7e7dc452d10e2e773@%3Cannounce.apache.org%3E https://lists.apache.org/thread.html/ref088c4732e1a8dd0bbbb96e13ffafcfe65f984238ffa55f438d78fe@%3Cdev.tomee.apache.org%3E https://lists.apache.org/thread.html/ref088c4732e1a8dd0bbbb96e13ffafcfe65f984238ffa55f438d78fe@%3Cusers.tomee.apache.org%3E
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-11969
Прочая информация	Данные уточняются

Последние изменения