Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06690

Опубликовано: 26 янв. 2022
Источник: fstec
CVSS3: 7
CVSS2: 6
EPSS Низкий

Описание

Уязвимость сервера приложений Apache Tomcat связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Вендор

Oracle Corp.
Novell Inc.
Red Hat Inc.
Сообщество свободного программного обеспечения
Fedora Project
ООО «Ред Софт»
АО «ИВК»
Apache Software Foundation
АО "НППКТ"
АО «НТЦ ИТ РОСА»

Наименование ПО

Managed File Transfer
SUSE Linux Enterprise Server for SAP Applications
Red Hat JBoss Fuse
Suse Linux Enterprise Server
Jboss Web Server
Debian GNU/Linux
OpenShift Application Runtimes
Fedora
OpenSUSE Leap
РЕД ОС
Альт 8 СП
Red Hat Enterprise Linux
Oracle Financial Services Crime and Compliance Management Studio
MySQL Enterprise Monitor
Oracle Big Data Spatial and Graph
Agile Engineering Data Management
Apache Tomcat
Communications Cloud Native Core Policy
ОСОН ОСнова Оnyx
РОСА ХРОМ

Версия ПО

12.2.1.3.0 (Managed File Transfer)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
7 (Red Hat JBoss Fuse)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
5.0 (Jboss Web Server)
10 (Debian GNU/Linux)
- (OpenShift Application Runtimes)
15-LTSS (Suse Linux Enterprise Server)
12.2.1.4.0 (Managed File Transfer)
12 SP4-ESPOS (Suse Linux Enterprise Server)
12 SP4-LTSS (Suse Linux Enterprise Server)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
34 (Fedora)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
35 (Fedora)
7.3 (РЕД ОС)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
36 (Fedora)
15 SP4 (Suse Linux Enterprise Server)
15 SP2-BCL (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
9 (Red Hat Enterprise Linux)
15 SP2-LTSS (Suse Linux Enterprise Server)
8.0.8.2.0 (Oracle Financial Services Crime and Compliance Management Studio)
8.0.8.3.0 (Oracle Financial Services Crime and Compliance Management Studio)
до 8.0.29 включительно (MySQL Enterprise Monitor)
до 23.1 (Oracle Big Data Spatial and Graph)
6.2.1.0 (Agile Engineering Data Management)
от 10.1.0-M1 до 10.1.0-M8 включительно (Apache Tomcat)
от 10.0.0-M5 до 10.0.14 включительно (Apache Tomcat)
от 9.0.35 до 9.0.56 включительно (Apache Tomcat)
от 8.5.55 до 8.5.73 включительно (Apache Tomcat)
5.7 on RHEL 7 (Jboss Web Server)
5.7 on RHEL 8 (Jboss Web Server)
5.7 on RHEL 9 (Jboss Web Server)
1.15.0 (Communications Cloud Native Core Policy)
до 2.6 (ОСОН ОСнова Оnyx)
12.4 (РОСА ХРОМ)

Тип ПО

Прикладное ПО информационных систем
Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Fedora Project Fedora 34
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 36
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread/l8x62p3k19yfcb208jo4zrb83k5mfwg9
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-23181
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-23181
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23181.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZU3HILUS6IEGNO44UPZ5D2NVWTTWO6GH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TA36NSUAX4G7VEA2RKT7JY3JNKFXFZFL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/N6DQ3FKG7FCJ6BKLNU5EVZ7JHFY3WF4Q/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u4.osnova1
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 50%
0.00266
Низкий

7 High

CVSS3

6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-23181

CVSS3: 7
ubuntu
больше 3 лет назад

The fix for bug CVE-2020-9484 introduced a time of check, time of use vulnerability into Apache Tomcat 10.1.0-M1 to 10.1.0-M8, 10.0.0-M5 to 10.0.14, 9.0.35 to 9.0.56 and 8.5.55 to 8.5.73 that allowed a local attacker to perform actions with the privileges of the user that the Tomcat process is using. This issue is only exploitable when Tomcat is configured to persist sessions using the FileStore.

redhat логотип

CVE-2022-23181

CVSS3: 7
redhat
больше 3 лет назад

The fix for bug CVE-2020-9484 introduced a time of check, time of use vulnerability into Apache Tomcat 10.1.0-M1 to 10.1.0-M8, 10.0.0-M5 to 10.0.14, 9.0.35 to 9.0.56 and 8.5.55 to 8.5.73 that allowed a local attacker to perform actions with the privileges of the user that the Tomcat process is using. This issue is only exploitable when Tomcat is configured to persist sessions using the FileStore.

nvd логотип

CVE-2022-23181

CVSS3: 7
nvd
больше 3 лет назад

The fix for bug CVE-2020-9484 introduced a time of check, time of use vulnerability into Apache Tomcat 10.1.0-M1 to 10.1.0-M8, 10.0.0-M5 to 10.0.14, 9.0.35 to 9.0.56 and 8.5.55 to 8.5.73 that allowed a local attacker to perform actions with the privileges of the user that the Tomcat process is using. This issue is only exploitable when Tomcat is configured to persist sessions using the FileStore.

debian логотип

CVE-2022-23181

CVSS3: 7
debian
больше 3 лет назад

The fix for bug CVE-2020-9484 introduced a time of check, time of use ...

suse-cvrf логотип

openSUSE-SU-2022:0818-1

suse-cvrf
больше 3 лет назад

Security update for tomcat

EPSS

Процентиль: 50%
0.00266
Низкий

7 High

CVSS3

6 Medium

CVSS2