• rosa2021.1

ПО: tomcat 9.0.37
ОС: ROSA-CHROME

package_evr_string: tomcat-9.0.37-3.src.rpm

CVE-ID: CVE-2020-9484
BDU-ID: 2020-03620
CVE-Crit: СРЕДНИЙ
CVE-DESC.: Уязвимость компонента PersistenceManager сервера приложений Apache Tomcat связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданного запроса
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2021-24122
BDU-ID: None
CVE-Crit: СРЕДНИЙ
CVE-DESC.: При обслуживании ресурсов из сетевого расположения с использованием файловой системы NTFS Apache Tomcat версий от 10.0.0-M1 до 10.0.0-M9, от 9.0.0.M1 до 9.0.39, от 8.5.0 до 8.5.59 и от 7.0.0 до 7.0.106 были подвержены раскрытию исходного кода JSP в некоторых конфигурациях. Основной причиной было неожиданное поведение JRE API File.getCanonicalPath(), которое, в свою очередь, было вызвано несогласованным поведением Windows API (FindFirstFileW) в некоторых обстоятельствах.
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2021-25122
BDU-ID: 2021-01807
CVE-Crit: ВЫСОКИЙ
CVE-DESC.: Уязвимость реализации сетевого протокола HTTP/2 сервера приложений Apache Tomcat связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2021-25329
BDU-ID: 2021-01808
CVE-Crit: ВЫСОКИЙ
CVE-DESC.: Уязвимость реализации конфигурации сервера приложений Apache Tomcat связана с восстановлением в памяти недостоверных данных, полученных в результате десериализации буфера. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданного запроса
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2021-30640
BDU-ID: 2021-03686
CVE-Crit: СРЕДНИЙ
CVE-DESC.: Уязвимость реализации модуля JNDIRealm сервера приложений Apache Tomcat связана с недостатками механизма аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2021-33037
BDU-ID: 2021-03688
CVE-Crit: СРЕДНИЙ
CVE-DESC.: Уязвимость сервера приложений Apache Tomcat связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2021-41079
BDU-ID: 2022-02994
CVE-Crit: ВЫСОКИЙ
CVE-DESC.: Уязвимость сервера приложений Apache Tomcat существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи специально сформированного пакета
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2021-42340
BDU-ID: 2021-06115
CVE-Crit: N/A
CVE-DESC.: Уязвимость сервера приложений Apache Tomcat связана с утечкой памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании в результате исправления ошибки 63362
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2021-43980
BDU-ID: None
CVE-Crit: НИЗКИЙ
CVE-DESC.: Упрощенная реализация блокировки чтения и записи, представленная в Tomcat 10 и обратно перенесенная в Tomcat 9.0.47 и более поздних версиях, выявила давнюю (но чрезвычайно трудную для запуска) ошибку параллелизма в Apache Tomcat 10.1.0–10.1.0-M12, 10.0. От 0-M1 до 10.0.18, от 9.0.0-M1 до 9.0.60 и от 8.5.0 до 8.5.77, что может привести к тому, что клиентские соединения будут использовать общий экземпляр Http11Processor, что приведет к тому, что ответы или части ответов будут получены неправильным клиентом. .
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2022-23181
BDU-ID: 2022-06690
CVE-Crit: СРЕДНИЙ
CVE-DESC.: Уязвимость сервера приложений Apache Tomcat связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2022-25762
BDU-ID: 2022-03062
CVE-Crit: ВЫСОКИЙ
CVE-DESC.: Уязвимость сервера приложений Apache Tomcat связана с ошибками при одновременном закрытии соединения WebSocket и отправки сообщения WebSocket. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию или оказать другое воздействие
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2022-29885
BDU-ID: 2022-03434
CVE-Crit: ВЫСОКИЙ
CVE-DESC.: Уязвимость реализации класса EncryptInterceptor сервера приложений Apache Tomcat связана с неполной документацией по выполнению программы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2022-34305
BDU-ID: 2022-03746
CVE-Crit: СРЕДНИЙ
CVE-DESC.: Уязвимость в примерах проверки подлинности с помощью форм в примерах веб-приложений сервера приложений Apache Tomcat существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS)
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2022-42252
BDU-ID: 2022-07501
CVE-Crit: ВЫСОКИЙ
CVE-DESC.: Уязвимость реализации атрибута rejectIllegalHeader сервера приложений Apache Tomcat связана с недостатками обработки HTTP-запросов, содержащих заголовок Content-Length. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

CVE-ID: CVE-2023-28708
BDU-ID: None
CVE-Crit: СРЕДНИЙ
CVE-DESC.: При использовании RemoteIpFilter с запросами, полученными от обратного прокси-сервера через HTTP, которые включают заголовок X-Forwarded-Proto, установленный на https, файлы cookie сеанса, созданные Apache Tomcat 11.0.0-M1, до 11.0.0.-M2, 10.1.0-M1 до 10.1.5, от 9.0.0-M1 до 9.0.71 и от 8.5.0 до 8.5.85 не включали атрибут Secure. Это может привести к тому, что пользовательский агент передаст файл cookie сеанса по незащищенному каналу.
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update tomcat

• https://bdu.fstec.ru/vul/2020-03620
• https://nvd.nist.gov/vuln/detail/CVE-2022-4344
• https://nvd.nist.gov/vuln/detail/CVE-2021-24122
• https://bdu.fstec.ru/vul/2021-01807
• https://nvd.nist.gov/vuln/detail/CVE-2021-25122
• https://bdu.fstec.ru/vul/2021-01808
• https://nvd.nist.gov/vuln/detail/CVE-2021-25329
• https://bdu.fstec.ru/vul/2021-03686
• https://nvd.nist.gov/vuln/detail/CVE-2021-30640
• https://bdu.fstec.ru/vul/2021-03688
• https://nvd.nist.gov/vuln/detail/CVE-2021-33037
• https://bdu.fstec.ru/vul/2022-02994
• https://nvd.nist.gov/vuln/detail/CVE-2021-41079
• https://bdu.fstec.ru/vul/2021-06115
• https://nvd.nist.gov/vuln/detail/CVE-2021-42340
• https://nvd.nist.gov/vuln/detail/CVE-2021-43980
• https://bdu.fstec.ru/vul/2022-06690
• https://nvd.nist.gov/vuln/detail/CVE-2022-23181
• https://bdu.fstec.ru/vul/2022-03062
• https://nvd.nist.gov/vuln/detail/CVE-2022-25762
• https://bdu.fstec.ru/vul/2022-03434
• https://nvd.nist.gov/vuln/detail/CVE-2022-29885
• https://bdu.fstec.ru/vul/2022-03746
• https://nvd.nist.gov/vuln/detail/CVE-2022-34305
• https://bdu.fstec.ru/vul/2022-07501
• https://nvd.nist.gov/vuln/detail/CVE-2022-42252
• https://nvd.nist.gov/vuln/detail/CVE-2023-28708