BDU:2024-02608
АО "НППКТ", Novell Inc., ООО «Ред Софт», Red Hat Inc., АО «ИВК», Axiom JDK, Сообщество свободного пр Red Hat JBoss Web Server, Tomcat, Red Hat Enterprise Linux, Libercat Certified, Альт 8 СП, АЛЬТ СП 1
2024-03-13
Уязвимость сервера приложений Apache Tomcat связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданных HTTP/2-запросов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для Apache Tomcat: https://lists.apache.org/thread/4c50rmomhbbsdgfjsgwlb51xdwfjdcvg
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2024-24549.html
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-24549
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2024-24549
Компенсирующие меры: - использование систем обнаружения и предотвращения вторжений, позволяющих предотвратить реализацию атаки CONTINUATION Floud; - ограничить использование протокола HTTP/2 (перейти на HTTP /1.1).
Для ОСОН ОСнова Оnyx (2.11): Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u10.osnova1
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2944
Для Libercat Certified: Обновление ПО до актуальной версии
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2944
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/