Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00506

Опубликовано: 25 июн. 2020
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость сервера приложений Apache Tomcat связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированной последовательности запросов HTTP/2

Вендор

Сообщество свободного программного обеспечения
Novell Inc.
Oracle Corp.
Canonical Ltd.
Apache Software Foundation
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
OpenSUSE Leap
Database Server
Ubuntu
Siebel UI Framework
Apache Tomcat
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
15.1 (OpenSUSE Leap)
12.2.0.1 (Database Server)
18c (Database Server)
19c (Database Server)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
15.2 (OpenSUSE Leap)
до 20.12 включительно (Siebel UI Framework)
от 8.5.0 до 8.5.55 включительно (Apache Tomcat)
от 9.0.0 до 9.0.35 включительно (Apache Tomcat)
от 9.0.0 milestone1 до 9.0.0 milestone27 включительно (Apache Tomcat)
от 10.0.0 milestone1 до 10.0.0 milestone5 включительно (Apache Tomcat)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
СУБД
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. OpenSUSE Leap 15.2
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread.html/r5541ef6b6b68b49f76fc4c45695940116da2bcbe0312ef204a00a2e0%40%3Cannounce.tomcat.apache.org%3E
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/07/msg00010.html
https://www.debian.org/security/2020/dsa-4727
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00064.html
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00072.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для Ubuntu:
https://ubuntu.com/security/notices/USN-4596-1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.31135
Средний

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-11996

CVSS3: 7.5
ubuntu
около 5 лет назад

A specially crafted sequence of HTTP/2 requests sent to Apache Tomcat 10.0.0-M1 to 10.0.0-M5, 9.0.0.M1 to 9.0.35 and 8.5.0 to 8.5.55 could trigger high CPU usage for several seconds. If a sufficient number of such requests were made on concurrent HTTP/2 connections, the server could become unresponsive.

redhat логотип

CVE-2020-11996

CVSS3: 7.5
redhat
около 5 лет назад

A specially crafted sequence of HTTP/2 requests sent to Apache Tomcat 10.0.0-M1 to 10.0.0-M5, 9.0.0.M1 to 9.0.35 and 8.5.0 to 8.5.55 could trigger high CPU usage for several seconds. If a sufficient number of such requests were made on concurrent HTTP/2 connections, the server could become unresponsive.

nvd логотип

CVE-2020-11996

CVSS3: 7.5
nvd
около 5 лет назад

A specially crafted sequence of HTTP/2 requests sent to Apache Tomcat 10.0.0-M1 to 10.0.0-M5, 9.0.0.M1 to 9.0.35 and 8.5.0 to 8.5.55 could trigger high CPU usage for several seconds. If a sufficient number of such requests were made on concurrent HTTP/2 connections, the server could become unresponsive.

debian логотип

CVE-2020-11996

CVSS3: 7.5
debian
около 5 лет назад

A specially crafted sequence of HTTP/2 requests sent to Apache Tomcat ...

suse-cvrf логотип

openSUSE-SU-2020:1063-1

suse-cvrf
около 5 лет назад

Security update for tomcat

EPSS

Процентиль: 97%
0.31135
Средний

7.5 High

CVSS3

7.8 High

CVSS2