Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01013

Опубликовано: 24 фев. 2020
Источник: fstec
CVSS3: 4.8
CVSS2: 5.8
EPSS Низкий

Описание

Уязвимость сервера приложений Apache Tomcat связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Вендор

Сообщество свободного программного обеспечения
Oracle Corp.
Novell Inc.
Red Hat Inc.
Apache Software Foundation
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Oracle Transportation Management
Instantis EnterpriseTrack
Agile Engineering Data Management
OpenSUSE Leap
Database Server
Oracle Hospitality Guest Access
Jboss Web Server
Oracle Communications Element Manager
Oracle Agile PLM
Communications Instant Messaging Server
Oracle Health Sciences Empirica Inspections
Oracle Health Sciences Empirica Signal
Siebel UI Framework
Apache Tomcat
Hyperion Infrastructure Technology
MySQL Enterprise Monitor
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
6.3.7 (Oracle Transportation Management)
17.1 (Instantis EnterpriseTrack)
17.2 (Instantis EnterpriseTrack)
17.3 (Instantis EnterpriseTrack)
6.2.1 (Agile Engineering Data Management)
15.1 (OpenSUSE Leap)
12.2.0.1 (Database Server)
18c (Database Server)
19c (Database Server)
8 (Debian GNU/Linux)
4.2.0 (Oracle Hospitality Guest Access)
4.2.1 (Oracle Hospitality Guest Access)
10 (Debian GNU/Linux)
5.3 on RHEL 6 (Jboss Web Server)
5.3 on RHEL 7 (Jboss Web Server)
5.3 on RHEL 8 (Jboss Web Server)
(JWS) 5.3 (Jboss Web Server)
8.1.1 (Oracle Communications Element Manager)
8.2.0 (Oracle Communications Element Manager)
9.3.3 (Oracle Agile PLM)
9.3.5 (Oracle Agile PLM)
9.3.6 (Oracle Agile PLM)
8.2.1 (Oracle Communications Element Manager)
10.0.1.4.0 (Communications Instant Messaging Server)
1.0.1.2 (Oracle Health Sciences Empirica Inspections)
7.3.3 (Oracle Health Sciences Empirica Signal)
до 20.5 включительно (Siebel UI Framework)
от 7.0.98 до 7.0.99 включительно (Apache Tomcat)
от 8.5.48 до 8.5.50 включительно (Apache Tomcat)
от 9.0.28 до 9.0.30 включительно (Apache Tomcat)
11.1.2.4 (Hyperion Infrastructure Technology)
от 4.0.0 до 4.0.12 включительно (MySQL Enterprise Monitor)
от 8.0.0 до 8.0.20 включительно (MySQL Enterprise Monitor)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache:
https://lists.apache.org/thread.html/r7bc994c965a34876bd94d5ff15b4e1e30b6220a15eb9b47c81915b78@%3Ccommits.tomee.apache.org%3E
https://lists.apache.org/thread.html/r88def002c5c78534674ca67472e035099fbe088813d50062094a1390%40%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/rc31cbabb46cdc58bbdd8519a8f64b6236b2635a3922bbeba0f0e3743@%3Ccommits.tomee.apache.org%3E
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-17569
https://lists.debian.org/debian-lts-announce/2020/03/msg00006.html
https://www.debian.org/security/2020/dsa-4673
https://www.debian.org/security/2020/dsa-4680
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-17569
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00025.html
Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.09925
Низкий

4.8 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-17569

CVSS3: 4.8
ubuntu
больше 5 лет назад

The refactoring present in Apache Tomcat 9.0.28 to 9.0.30, 8.5.48 to 8.5.50 and 7.0.98 to 7.0.99 introduced a regression. The result of the regression was that invalid Transfer-Encoding headers were incorrectly processed leading to a possibility of HTTP Request Smuggling if Tomcat was located behind a reverse proxy that incorrectly handled the invalid Transfer-Encoding header in a particular manner. Such a reverse proxy is considered unlikely.

redhat логотип

CVE-2019-17569

CVSS3: 4.3
redhat
больше 5 лет назад

The refactoring present in Apache Tomcat 9.0.28 to 9.0.30, 8.5.48 to 8.5.50 and 7.0.98 to 7.0.99 introduced a regression. The result of the regression was that invalid Transfer-Encoding headers were incorrectly processed leading to a possibility of HTTP Request Smuggling if Tomcat was located behind a reverse proxy that incorrectly handled the invalid Transfer-Encoding header in a particular manner. Such a reverse proxy is considered unlikely.

nvd логотип

CVE-2019-17569

CVSS3: 4.8
nvd
больше 5 лет назад

The refactoring present in Apache Tomcat 9.0.28 to 9.0.30, 8.5.48 to 8.5.50 and 7.0.98 to 7.0.99 introduced a regression. The result of the regression was that invalid Transfer-Encoding headers were incorrectly processed leading to a possibility of HTTP Request Smuggling if Tomcat was located behind a reverse proxy that incorrectly handled the invalid Transfer-Encoding header in a particular manner. Such a reverse proxy is considered unlikely.

debian логотип

CVE-2019-17569

CVSS3: 4.8
debian
больше 5 лет назад

The refactoring present in Apache Tomcat 9.0.28 to 9.0.30, 8.5.48 to 8 ...

github логотип

GHSA-767j-jfh2-jvrc

CVSS3: 4.8
github
больше 5 лет назад

Potential HTTP request smuggling in Apache Tomcat

EPSS

Процентиль: 93%
0.09925
Низкий

4.8 Medium

CVSS3

5.8 Medium

CVSS2

Уязвимость BDU:2021-01013