BDU:2021-06115: Уязвимость сервера приложений Apache Tomcat, связанная с утечкой памяти, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость сервера приложений Apache Tomcat связана с утечкой памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании в результате исправления ошибки 63362
Вендор Oracle Corp., Red Hat Inc., Сообщество свободного программного обеспечения, Apache Software Foundation, ООО «Ред Софт», АО "НППКТ", McAfee Inc.
Наименование ПО Managed File Transfer, Red Hat JBoss Fuse, Debian GNU/Linux, Jboss Web Server, OpenShift Application Runtimes, Oracle Agile PLM, Oracle SD-WAN Edge, Apache Tomcat, РЕД ОС (запись в едином реестре российских программ №3751), Red Hat Enterprise Linux, Communications Instant Messaging Server, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), Commerce Guided Search, ePolicy Orchestrator, Oracle Communications Cloud Native Core Service Communication Proxy (SCP), Oracle Communications Element Manager, Oracle Communications Session Report Manager, Oracle Communications Session Route Manager, MySQL Enterprise Monitor, Communications Diameter Signaling Router, Oracle Hospitality Cruise Shipboard Property Management System, Oracle Big Data Spatial and Graph, Agile Engineering Data Management
Версия ПО
  • 12.2.1.3.0 (Managed File Transfer)
  • 7 (Red Hat JBoss Fuse)
  • 10.0 (Debian GNU/Linux)
  • 5.0 (Jboss Web Server)
  • 1.0 (OpenShift Application Runtimes)
  • 12.2.1.4.0 (Managed File Transfer)
  • 9.3.6 (Oracle Agile PLM)
  • 9.0 (Oracle SD-WAN Edge)
  • 11 (Debian GNU/Linux)
  • от 10.1.0-M1 до 10.1.0-M5 (Apache Tomcat)
  • от 10.0.0-M1 до 10.0.11 (Apache Tomcat)
  • от 9.0.40 до 9.0.53 (Apache Tomcat)
  • от 8.5.60 до 8.5.71 (Apache Tomcat)
  • 7.3 (РЕД ОС)
  • 9 (Red Hat Enterprise Linux)
  • 10.0.1.5.0 (Communications Instant Messaging Server)
  • до 2.5 (ОСОН ОСнова Оnyx)
  • 11.3.2 (Commerce Guided Search)
  • до 5.10.0 Update 13 (ePolicy Orchestrator)
  • 1.15.0 (Oracle Communications Cloud Native Core Service Communication Proxy (SCP))
  • до 9.0 (Oracle Communications Element Manager)
  • до 9.0 (Oracle Communications Session Report Manager)
  • до 9.0 (Oracle Communications Session Route Manager)
  • до 8.0.29 включительно (MySQL Enterprise Monitor)
  • от 8.0.0.0 до 8.5.0.2 включительно (Communications Diameter Signaling Router)
  • 9.1 (Oracle SD-WAN Edge)
  • 20.1.0 (Oracle Hospitality Cruise Shipboard Property Management System)
  • до 23.1 (Oracle Big Data Spatial and Graph)
  • 6.2.1.0 (Agile Engineering Data Management)
  • 5.6 on RHEL 7 (Jboss Web Server)
  • 5.6 on RHEL 8 (Jboss Web Server)
Тип ПО Прикладное ПО информационных систем, Операционная система, Сетевое программное средство, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Неосвобождение ресурса после истечения действительного срока его эксплуатирования
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 14.10.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:

Для сервера приложений Apache Tomcat:
обновление программного средства до актуальной версии

Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-5009
https://security-tracker.debian.org/tracker/CVE-2021-42340



Для ОСОН Основа:

обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u3osnova1

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-42340

Для McAfee:
https://kcm.trellix.com/corporate/index?page=content&id=SB10379

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения