BDU:2022-06690: Уязвимость сервера приложений Apache Tomcat, связанная с ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю повысить свои привилегии

Описание уязвимости Уязвимость сервера приложений Apache Tomcat связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
Вендор Oracle Corp., Novell Inc., Red Hat Inc., Сообщество свободного программного обеспечения, Fedora Project, ООО «Ред Софт», Apache Software Foundation, АО "НППКТ"
Наименование ПО Managed File Transfer, SUSE Linux Enterprise Server for SAP Applications, Red Hat JBoss Fuse, Debian GNU/Linux, Suse Linux Enterprise Server, Jboss Web Server, OpenShift Application Runtimes, Fedora, OpenSUSE Leap, РЕД ОС (запись в едином реестре российских программ №3751), Red Hat Enterprise Linux, Oracle Financial Services Crime and Compliance Management Studio, MySQL Enterprise Monitor, Oracle Big Data Spatial and Graph, Agile Engineering Data Management, Apache Tomcat, Communications Cloud Native Core Policy, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 12.2.1.3.0 (Managed File Transfer)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 7 (Red Hat JBoss Fuse)
  • 15 (SUSE Linux Enterprise Server for SAP Applications)
  • 15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
  • 10.0 (Debian GNU/Linux)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
  • 5.0 (Jboss Web Server)
  • - (OpenShift Application Runtimes)
  • 15-LTSS (Suse Linux Enterprise Server)
  • 12.2.1.4.0 (Managed File Transfer)
  • 12 SP4-ESPOS (Suse Linux Enterprise Server)
  • 12 SP4-LTSS (Suse Linux Enterprise Server)
  • 15 SP1-BCL (Suse Linux Enterprise Server)
  • 15 SP1-LTSS (Suse Linux Enterprise Server)
  • 34 (Fedora)
  • 15.3 (OpenSUSE Leap)
  • 11.0 (Debian GNU/Linux)
  • 35 (Fedora)
  • 7.3 (РЕД ОС)
  • 15 SP3 (Suse Linux Enterprise Server)
  • 15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
  • 36 (Fedora)
  • 15 SP4 (Suse Linux Enterprise Server)
  • 15 SP2-BCL (Suse Linux Enterprise Server)
  • 15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 9 (Red Hat Enterprise Linux)
  • 15 SP2-LTSS (Suse Linux Enterprise Server)
  • 8.0.8.2.0 (Oracle Financial Services Crime and Compliance Management Studio)
  • 8.0.8.3.0 (Oracle Financial Services Crime and Compliance Management Studio)
  • до 8.0.29 включительно (MySQL Enterprise Monitor)
  • до 23.1 (Oracle Big Data Spatial and Graph)
  • 6.2.1.0 (Agile Engineering Data Management)
  • от 10.1.0-M1 до 10.1.0-M8 включительно (Apache Tomcat)
  • от 10.0.0-M5 до 10.0.14 включительно (Apache Tomcat)
  • от 9.0.35 до 9.0.56 включительно (Apache Tomcat)
  • от 8.5.55 до 8.5.73 включительно (Apache Tomcat)
  • 5.7 on RHEL 7 (Jboss Web Server)
  • 5.7 on RHEL 8 (Jboss Web Server)
  • 5.7 on RHEL 9 (Jboss Web Server)
  • 1.15.0 (Communications Cloud Native Core Policy)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Прикладное ПО информационных систем, Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Novell Inc. Suse Linux Enterprise Server 12 SP5
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
  • Novell Inc. Suse Linux Enterprise Server 15-LTSS
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
  • Fedora Project Fedora 34
  • Novell Inc. OpenSUSE Leap 15.3
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
  • Fedora Project Fedora 35
  • ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
  • Novell Inc. Suse Linux Enterprise Server 15 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
  • Fedora Project Fedora 36
  • Novell Inc. Suse Linux Enterprise Server 15 SP4
  • Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
  • Red Hat Inc. Red Hat Enterprise Linux 9
  • Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
  • АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки Ситуация гонки Time-of-check Time-of-use (TOCTOU)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 26.01.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование сроками и состоянием
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Эта уязвимость может быть реализована только в том случае, если Tomcat настроен на сохранение сеансов с помощью FileStore.
Последние изменения