Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01807

Опубликовано: 01 мар. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Описание

Уязвимость реализации сетевого протокола HTTP/2 сервера приложений Apache Tomcat связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения
Red Hat Inc.
ООО «Ред Софт»
Apache Software Foundation
ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Red Hat Enterprise Linux
Red Hat JBoss Fuse
Jboss Web Server
РЕД ОС
OpenShift Application Runtimes
Apache Tomcat
Astra Linux Special Edition
РОСА ХРОМ
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
8 (Red Hat Enterprise Linux)
7 (Red Hat JBoss Fuse)
5.0 (Jboss Web Server)
7.2 Муром (РЕД ОС)
- (OpenShift Application Runtimes)
от 10.0.0-M1 до 10.0.0 включительно (Apache Tomcat)
от 9.0.0.M1 до 9.0.41 включительно (Apache Tomcat)
от 8.5.0 до 8.5.61 включительно (Apache Tomcat)
1.7 (Astra Linux Special Edition)
12.4 (РОСА ХРОМ)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.2 Муром
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread.html/r7b95bc248603360501f18c8eb03bb6001ec0ee3296205b34b07105b7%40%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r7b95bc248603360501f18c8eb03bb6001ec0ee3296205b34b07105b7@%3Cannounce.apache.org%3E
https://lists.apache.org/thread.html/r7b95bc248603360501f18c8eb03bb6001ec0ee3296205b34b07105b7@%3Cannounce.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r7b95bc248603360501f18c8eb03bb6001ec0ee3296205b34b07105b7@%3Cdev.tomcat.apache.org%3E
https://lists.apache.org/thread.html/r7b95bc248603360501f18c8eb03bb6001ec0ee3296205b34b07105b7@%3Cusers.tomcat.apache.org%3E
https://lists.apache.org/thread.html/rcd90bf36b1877e1310b87ecd14ed7bbb15da52b297efd9f0e7253a3b@%3Cusers.tomcat.apache.org%3E
https://lists.apache.org/thread.html/rd0463f9a5cbc02a485404c4b990f0da452e5ac5c237808edba11c947@%3Cusers.tomcat.apache.org%3E
https://lists.apache.org/thread.html/rf6d5d57b114678d8898005faef31e9fd6d7c981fcc4ccfc3bc272fc9@%3Cdev.tomcat.apache.org%3E
Для Debian:
https://lists.debian.org/debian-lts-announce/2021/03/msg00018.html
Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/cve-2021-25122
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258
Для ОС ОН «Стрелец»:
Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02775
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-25122

CVSS3: 7.5
ubuntu
больше 4 лет назад

When responding to new h2c connection requests, Apache Tomcat versions 10.0.0-M1 to 10.0.0, 9.0.0.M1 to 9.0.41 and 8.5.0 to 8.5.61 could duplicate request headers and a limited amount of request body from one request to another meaning user A and user B could both see the results of user A's request.

redhat логотип

CVE-2021-25122

CVSS3: 7.5
redhat
больше 4 лет назад

When responding to new h2c connection requests, Apache Tomcat versions 10.0.0-M1 to 10.0.0, 9.0.0.M1 to 9.0.41 and 8.5.0 to 8.5.61 could duplicate request headers and a limited amount of request body from one request to another meaning user A and user B could both see the results of user A's request.

nvd логотип

CVE-2021-25122

CVSS3: 7.5
nvd
больше 4 лет назад

When responding to new h2c connection requests, Apache Tomcat versions 10.0.0-M1 to 10.0.0, 9.0.0.M1 to 9.0.41 and 8.5.0 to 8.5.61 could duplicate request headers and a limited amount of request body from one request to another meaning user A and user B could both see the results of user A's request.

debian логотип

CVE-2021-25122

CVSS3: 7.5
debian
больше 4 лет назад

When responding to new h2c connection requests, Apache Tomcat versions ...

github логотип

GHSA-j39c-c8hj-x4j3

CVSS3: 7.5
github
около 4 лет назад

Exposure of Sensitive Information to an Unauthorized Actor in Apache Tomcat

EPSS

Процентиль: 85%
0.02775
Низкий

7.5 High

CVSS3

5 Medium

CVSS2