BDU:2021-03688: Уязвимость сервера приложений Apache Tomcat, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос

Описание уязвимости Уязвимость сервера приложений Apache Tomcat связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Вендор Red Hat Inc., ООО «Ред Софт», Apache Software Foundation, ООО «РусБИТех-Астра», АО "НППКТ"
Наименование ПО Red Hat JBoss Fuse, Jboss Web Server, РЕД ОС (запись в едином реестре российских программ №3751), OpenShift Application Runtimes, Apache Tomcat, Astra Linux Special Edition (запись в едином реестре российских программ №369), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat JBoss Fuse)
  • 5.0 (Jboss Web Server)
  • 7.2 Муром (РЕД ОС)
  • - (OpenShift Application Runtimes)
  • от 10.0.0-M1 до 10.0.6 включительно (Apache Tomcat)
  • от 9.0.0.M1 до 9.0.46 включительно (Apache Tomcat)
  • от 8.5.0 до 8.5.66 включительно (Apache Tomcat)
  • 1.7 (Astra Linux Special Edition)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Прикладное ПО информационных систем, Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 12.07.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread.html/r612a79269b0d5e5780c62dfd34286a8037232fec0bc6f1a7e60c9381%40%3Cannounce.tomcat.apache.org%3E

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-33037

Для РедОС:
https://redos.red-soft.ru/updatesec/

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОСОН Основа:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u3osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения