BDU:2022-03434
АО "НППКТ", Novell Inc., ООО «Ред Софт», Red Hat Inc., АО «ИВК», Сообщество свободного программного Tomcat, Red Hat Enterprise Linux, Альт 8 СП, АЛЬТ СП 10, РОСА ХРОМ, Red Hat JBoss Fuse, SUSE Linux E
2022-04-28
Уязвимость реализации класса EncryptInterceptor сервера приложений Apache Tomcat связана с неполной документацией по выполнению программы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций производителей:
Для Apache Tomcat https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-29885
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-29885
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-29885.html
Компенсирующие меры: - организация канала связи альтернативным способом, например через VPN.
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u4.osnova1
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2697
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/