Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05380

Опубликовано: 22 мая 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость сервера приложений Apache Tomcat связана с ошибкой единичного смещения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

АО «ИВК»
АО «НТЦ ИТ РОСА»
Apache Software Foundation
АО "НППКТ"

Наименование ПО

Альт 8 СП
РОСА ХРОМ
Tomcat
АЛЬТ СП 10
ОСОН ОСнова Оnyx

Версия ПО

- (Альт 8 СП)
12.4 (РОСА ХРОМ)
от 8.5.85 до 8.5.87 включительно (Tomcat)
от 9.0.71 до 9.0.73 включительно (Tomcat)
от 10.1.5 до 10.1.7 включительно (Tomcat)
11.0.0-M2 (Tomcat)
11.0.0-M3 (Tomcat)
11.0.0-M4 (Tomcat)
9.0.75 (Tomcat)
- (АЛЬТ СП 10)
до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

АО «ИВК» Альт 8 СП -
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций производителя:
https://lists.apache.org/thread/7wvxonzwb7k9hx9jt3q33cmy7j97jo3j
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u9.osnova1
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2418
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 63%
0.0045
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-28709

CVSS3: 7.5
ubuntu
больше 2 лет назад

The fix for CVE-2023-24998 was incomplete for Apache Tomcat 11.0.0-M2 to 11.0.0-M4, 10.1.5 to 10.1.7, 9.0.71 to 9.0.73 and 8.5.85 to 8.5.87. If non-default HTTP connector settings were used such that the maxParameterCount could be reached using query string parameters and a request was submitted that supplied exactly maxParameterCount parameters in the query string, the limit for uploaded request parts could be bypassed with the potential for a denial of service to occur.

redhat логотип

CVE-2023-28709

CVSS3: 7.5
redhat
больше 2 лет назад

The fix for CVE-2023-24998 was incomplete for Apache Tomcat 11.0.0-M2 to 11.0.0-M4, 10.1.5 to 10.1.7, 9.0.71 to 9.0.73 and 8.5.85 to 8.5.87. If non-default HTTP connector settings were used such that the maxParameterCount could be reached using query string parameters and a request was submitted that supplied exactly maxParameterCount parameters in the query string, the limit for uploaded request parts could be bypassed with the potential for a denial of service to occur.

nvd логотип

CVE-2023-28709

CVSS3: 7.5
nvd
больше 2 лет назад

The fix for CVE-2023-24998 was incomplete for Apache Tomcat 11.0.0-M2 to 11.0.0-M4, 10.1.5 to 10.1.7, 9.0.71 to 9.0.73 and 8.5.85 to 8.5.87. If non-default HTTP connector settings were used such that the maxParameterCount could be reached using query string parameters and a request was submitted that supplied exactly maxParameterCount parameters in the query string, the limit for uploaded request parts could be bypassed with the potential for a denial of service to occur.

debian логотип

CVE-2023-28709

CVSS3: 7.5
debian
больше 2 лет назад

The fix for CVE-2023-24998 was incomplete for Apache Tomcat 11.0.0-M2 ...

suse-cvrf логотип

SUSE-SU-2023:2504-1

suse-cvrf
больше 2 лет назад

Security update for tomcat

EPSS

Процентиль: 63%
0.0045
Низкий

7.5 High

CVSS3

7.8 High

CVSS2