Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-06115

Опубликовано: 14 окт. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Описание

Уязвимость сервера приложений Apache Tomcat связана с утечкой памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании в результате исправления ошибки 63362

Вендор

Oracle Corp.
Red Hat Inc.
Сообщество свободного программного обеспечения
Apache Software Foundation
ООО «Ред Софт»
АО "НППКТ"
McAfee Inc.
АО «НТЦ ИТ РОСА»

Наименование ПО

Managed File Transfer
Red Hat JBoss Fuse
Jboss Web Server
Debian GNU/Linux
OpenShift Application Runtimes
Oracle Agile PLM
Oracle SD-WAN Edge
Apache Tomcat
РЕД ОС
Red Hat Enterprise Linux
Communications Instant Messaging Server
ОСОН ОСнова Оnyx
Commerce Guided Search
ePolicy Orchestrator
Oracle Communications Cloud Native Core Service Communication Proxy (SCP)
Oracle Communications Element Manager
Oracle Communications Session Report Manager
Oracle Communications Session Route Manager
MySQL Enterprise Monitor
Communications Diameter Signaling Router
Oracle Hospitality Cruise Shipboard Property Management System
Oracle Big Data Spatial and Graph
Agile Engineering Data Management
РОСА ХРОМ

Версия ПО

12.2.1.3.0 (Managed File Transfer)
7 (Red Hat JBoss Fuse)
5.0 (Jboss Web Server)
10 (Debian GNU/Linux)
1.0 (OpenShift Application Runtimes)
12.2.1.4.0 (Managed File Transfer)
9.3.6 (Oracle Agile PLM)
9.0 (Oracle SD-WAN Edge)
11 (Debian GNU/Linux)
от 10.1.0-M1 до 10.1.0-M5 (Apache Tomcat)
от 10.0.0-M1 до 10.0.11 (Apache Tomcat)
от 9.0.40 до 9.0.53 (Apache Tomcat)
от 8.5.60 до 8.5.71 (Apache Tomcat)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
10.0.1.5.0 (Communications Instant Messaging Server)
до 2.5 (ОСОН ОСнова Оnyx)
11.3.2 (Commerce Guided Search)
до 5.10.0 Update 13 (ePolicy Orchestrator)
1.15.0 (Oracle Communications Cloud Native Core Service Communication Proxy (SCP))
до 9.0 (Oracle Communications Element Manager)
до 9.0 (Oracle Communications Session Report Manager)
до 9.0 (Oracle Communications Session Route Manager)
до 8.0.29 включительно (MySQL Enterprise Monitor)
от 8.0.0.0 до 8.5.0.2 включительно (Communications Diameter Signaling Router)
9.1 (Oracle SD-WAN Edge)
20.1.0 (Oracle Hospitality Cruise Shipboard Property Management System)
до 23.1 (Oracle Big Data Spatial and Graph)
6.2.1.0 (Agile Engineering Data Management)
5.6 on RHEL 7 (Jboss Web Server)
5.6 on RHEL 8 (Jboss Web Server)
12.4 (РОСА ХРОМ)

Тип ПО

Прикладное ПО информационных систем
Операционная система
Сетевое программное средство
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для сервера приложений Apache Tomcat:
обновление программного средства до актуальной версии
Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-5009
https://security-tracker.debian.org/tracker/CVE-2021-42340
Для ОСОН Основа:
обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u3osnova1
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-42340
Для McAfee:
https://kcm.trellix.com/corporate/index?page=content&id=SB10379
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03464
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20221103-06

CVSS3: 7.5
redos
больше 2 лет назад

Множественные уязвимости Apache Tomcat

ubuntu логотип

CVE-2021-42340

CVSS3: 7.5
ubuntu
больше 3 лет назад

The fix for bug 63362 present in Apache Tomcat 10.1.0-M1 to 10.1.0-M5, 10.0.0-M1 to 10.0.11, 9.0.40 to 9.0.53 and 8.5.60 to 8.5.71 introduced a memory leak. The object introduced to collect metrics for HTTP upgrade connections was not released for WebSocket connections once the connection was closed. This created a memory leak that, over time, could lead to a denial of service via an OutOfMemoryError.

redhat логотип

CVE-2021-42340

CVSS3: 7.5
redhat
больше 3 лет назад

The fix for bug 63362 present in Apache Tomcat 10.1.0-M1 to 10.1.0-M5, 10.0.0-M1 to 10.0.11, 9.0.40 to 9.0.53 and 8.5.60 to 8.5.71 introduced a memory leak. The object introduced to collect metrics for HTTP upgrade connections was not released for WebSocket connections once the connection was closed. This created a memory leak that, over time, could lead to a denial of service via an OutOfMemoryError.

nvd логотип

CVE-2021-42340

CVSS3: 7.5
nvd
больше 3 лет назад

The fix for bug 63362 present in Apache Tomcat 10.1.0-M1 to 10.1.0-M5, 10.0.0-M1 to 10.0.11, 9.0.40 to 9.0.53 and 8.5.60 to 8.5.71 introduced a memory leak. The object introduced to collect metrics for HTTP upgrade connections was not released for WebSocket connections once the connection was closed. This created a memory leak that, over time, could lead to a denial of service via an OutOfMemoryError.

debian логотип

CVE-2021-42340

CVSS3: 7.5
debian
больше 3 лет назад

The fix for bug 63362 present in Apache Tomcat 10.1.0-M1 to 10.1.0-M5, ...

EPSS

Процентиль: 87%
0.03464
Низкий

7.5 High

CVSS3

5 Medium

CVSS2