Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04511

Опубликовано: 24 фев. 2020
Источник: fstec
CVSS3: 4.8
CVSS2: 5.8
EPSS Низкий

Описание

Уязвимость сервера приложений Apache Tomcat связана с непоследовательной интерпретацией HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность и целостность защищаемой информации

Вендор

Сообщество свободного программного обеспечения
Oracle Corp.
Novell Inc.
Apache Software Foundation
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Oracle Transportation Management
Instantis EnterpriseTrack
OpenSUSE Leap
Workload Manager
Oracle Communications Element Manager
MySQL Enterprise Monitor
Oracle Health Sciences Empirica Inspections
Oracle Health Sciences Empirica Signal
Apache Tomcat
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
6.3.7 (Oracle Transportation Management)
17.1 (Instantis EnterpriseTrack)
17.2 (Instantis EnterpriseTrack)
17.3 (Instantis EnterpriseTrack)
15.1 (OpenSUSE Leap)
10 (Debian GNU/Linux)
12.2.0.1 (Workload Manager)
18c (Workload Manager)
19c (Workload Manager)
8.1.1 (Oracle Communications Element Manager)
8.2.0 (Oracle Communications Element Manager)
8.2.1 (Oracle Communications Element Manager)
до 4.0.12 включительно (MySQL Enterprise Monitor)
до 8.0.20 включительно (MySQL Enterprise Monitor)
1.0.1.2 (Oracle Health Sciences Empirica Inspections)
7.3.3 (Oracle Health Sciences Empirica Signal)
от 7.0.98 до 7.0.99 включительно (Apache Tomcat)
от 8.5.48 до 8.5.50 включительно (Apache Tomcat)
от 9.0.28 до 9.0.30 включительно (Apache Tomcat)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache:
https://lists.apache.org/thread.html/r88def002c5c78534674ca67472e035099fbe088813d50062094a1390%40%3Cannounce.tomcat.apache.org%3E
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-17569
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-17569/
Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.09925
Низкий

4.8 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-17569

CVSS3: 4.8
ubuntu
больше 5 лет назад

The refactoring present in Apache Tomcat 9.0.28 to 9.0.30, 8.5.48 to 8.5.50 and 7.0.98 to 7.0.99 introduced a regression. The result of the regression was that invalid Transfer-Encoding headers were incorrectly processed leading to a possibility of HTTP Request Smuggling if Tomcat was located behind a reverse proxy that incorrectly handled the invalid Transfer-Encoding header in a particular manner. Such a reverse proxy is considered unlikely.

redhat логотип

CVE-2019-17569

CVSS3: 4.3
redhat
больше 5 лет назад

The refactoring present in Apache Tomcat 9.0.28 to 9.0.30, 8.5.48 to 8.5.50 and 7.0.98 to 7.0.99 introduced a regression. The result of the regression was that invalid Transfer-Encoding headers were incorrectly processed leading to a possibility of HTTP Request Smuggling if Tomcat was located behind a reverse proxy that incorrectly handled the invalid Transfer-Encoding header in a particular manner. Such a reverse proxy is considered unlikely.

nvd логотип

CVE-2019-17569

CVSS3: 4.8
nvd
больше 5 лет назад

The refactoring present in Apache Tomcat 9.0.28 to 9.0.30, 8.5.48 to 8.5.50 and 7.0.98 to 7.0.99 introduced a regression. The result of the regression was that invalid Transfer-Encoding headers were incorrectly processed leading to a possibility of HTTP Request Smuggling if Tomcat was located behind a reverse proxy that incorrectly handled the invalid Transfer-Encoding header in a particular manner. Such a reverse proxy is considered unlikely.

debian логотип

CVE-2019-17569

CVSS3: 4.8
debian
больше 5 лет назад

The refactoring present in Apache Tomcat 9.0.28 to 9.0.30, 8.5.48 to 8 ...

github логотип

GHSA-767j-jfh2-jvrc

CVSS3: 4.8
github
больше 5 лет назад

Potential HTTP request smuggling in Apache Tomcat

EPSS

Процентиль: 93%
0.09925
Низкий

4.8 Medium

CVSS3

5.8 Medium

CVSS2