BDU:2024-03597
АО "НППКТ", ООО «Ред Софт», АО «ИВК», Сообщество свободного программного обеспечения, Apache Softwar Tomcat, Альт 8 СП, АЛЬТ СП 10, ОСОН ОСнова Оnyx, Debian GNU/Linux, РЕД ОС, Oracle Exadata
2022-11-09
Уязвимость класса JsonErrorReportValve сервера приложений Apache Tomcat связана с недостатком механизма кодирования или экранирования выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать влияние на целостность защищаемой информации
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Apache Tomcat: https://lists.apache.org/thread/yqkd183xrw3wqvnpcg3osbcryq85fkzj https://github.com/apache/tomcat/commit/0cab3a56bd89f70e7481bb0d68395dc7e130dbbf https://github.com/apache/tomcat/commit/b336f4e58893ea35114f1e4a415657f723b1298e https://tomcat.apache.org/security-10.html https://tomcat.apache.org/security-9.html https://tomcat.apache.org/security-8.html
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-45143
Для Oracle Exadata: Обновление до версии 21.2.24.0.0: https://blogs.oracle.com/exadata/post/software-2023-may
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u6.osnova1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/