Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-06115: Уязвимость сервера приложений Apache Tomcat, связанная с утечкой памяти, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость сервера приложений Apache Tomcat связана с утечкой памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании в результате исправления ошибки 63362
Вендор	Oracle Corp., Red Hat Inc., Сообщество свободного программного обеспечения, Apache Software Foundation, ООО «Ред Софт», АО "НППКТ", McAfee Inc.
Наименование ПО	Managed File Transfer, Red Hat JBoss Fuse, Debian GNU/Linux, Jboss Web Server, OpenShift Application Runtimes, Oracle Agile PLM, Oracle SD-WAN Edge, Apache Tomcat, РЕД ОС (запись в едином реестре российских программ №3751), Red Hat Enterprise Linux, Communications Instant Messaging Server, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), Commerce Guided Search, ePolicy Orchestrator, Oracle Communications Cloud Native Core Service Communication Proxy (SCP), Oracle Communications Element Manager, Oracle Communications Session Report Manager, Oracle Communications Session Route Manager, MySQL Enterprise Monitor, Communications Diameter Signaling Router, Oracle Hospitality Cruise Shipboard Property Management System, Oracle Big Data Spatial and Graph, Agile Engineering Data Management
Версия ПО	12.2.1.3.0 (Managed File Transfer) 7 (Red Hat JBoss Fuse) 10.0 (Debian GNU/Linux) 5.0 (Jboss Web Server) 1.0 (OpenShift Application Runtimes) 12.2.1.4.0 (Managed File Transfer) 9.3.6 (Oracle Agile PLM) 9.0 (Oracle SD-WAN Edge) 11 (Debian GNU/Linux) от 10.1.0-M1 до 10.1.0-M5 (Apache Tomcat) от 10.0.0-M1 до 10.0.11 (Apache Tomcat) от 9.0.40 до 9.0.53 (Apache Tomcat) от 8.5.60 до 8.5.71 (Apache Tomcat) 7.3 (РЕД ОС) 9 (Red Hat Enterprise Linux) 10.0.1.5.0 (Communications Instant Messaging Server) до 2.5 (ОСОН ОСнова Оnyx) 11.3.2 (Commerce Guided Search) до 5.10.0 Update 13 (ePolicy Orchestrator) 1.15.0 (Oracle Communications Cloud Native Core Service Communication Proxy (SCP)) до 9.0 (Oracle Communications Element Manager) до 9.0 (Oracle Communications Session Report Manager) до 9.0 (Oracle Communications Session Route Manager) до 8.0.29 включительно (MySQL Enterprise Monitor) от 8.0.0.0 до 8.5.0.2 включительно (Communications Diameter Signaling Router) 9.1 (Oracle SD-WAN Edge) 20.1.0 (Oracle Hospitality Cruise Shipboard Property Management System) до 23.1 (Oracle Big Data Spatial and Graph) 6.2.1.0 (Agile Engineering Data Management) 5.6 on RHEL 7 (Jboss Web Server) 5.6 on RHEL 8 (Jboss Web Server)
Тип ПО	Прикладное ПО информационных систем, Операционная система, Сетевое программное средство, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Red Hat Inc. Red Hat Enterprise Linux 9 АО "НППКТ" ОСОН ОСнова Оnyx до 2.5 (запись в едином реестре российских программ №5913)
Тип ошибки	Неосвобождение ресурса после истечения действительного срока его эксплуатирования
Идентификатор типа ошибки	CWE-772
Класс уязвимости	Уязвимость кода
Дата выявления	14.10.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для сервера приложений Apache Tomcat: обновление программного средства до актуальной версии Для Debian GNU/Linux: https://www.debian.org/security/2021/dsa-5009 https://security-tracker.debian.org/tracker/CVE-2021-42340 Для ОСОН Основа: обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u3osnova1 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-42340 Для McAfee: https://kcm.trellix.com/corporate/index?page=content&id=SB10379 Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2022.html https://www.oracle.com/security-alerts/cpujan2022.html https://www.oracle.com/security-alerts/cpujul2022.html
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2021-42340 https://www.debian.org/security/2021/dsa-5009 https://lists.apache.org/thread/5k2dr6n8sw9g6swk7jyrkvk6wxqf6kx6 https://lists.apache.org/thread/q33k672q3q3zf114fpf7vfoycghtsbxd https://www.suse.com/security/cve/CVE-2021-42340.htm l https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/ https://security-tracker.debian.org/tracker/CVE-2021-42340 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://access.redhat.com/security/cve/cve-2021-42340 https://kcm.trellix.com/corporate/index?page=content&id=SB10379 https://www.oracle.com/security-alerts/cpuapr2022.html https://www.oracle.com/security-alerts/cpujan2022.html https://www.oracle.com/security-alerts/cpujul2022.html
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-42340
Прочая информация	Данные уточняются

Последние изменения