BDU:2024-11286
АО "НППКТ", ООО «Ред Софт», АО «ИВК», Axiom JDK, Apache Software Foundation Tomcat, Libercat Certified, Альт 8 СП, АЛЬТ СП 10, ОСОН ОСнова Оnyx, РЕД ОС
2024-12-17
Уязвимость сервлета DefaultServlet сервера приложений Apache Tomcat связана с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r https://tomcat.apache.org/security-11.html https://tomcat.apache.org/security-10.html https://tomcat.apache.org/security -9.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры: - ограничение возможности загрузки JSP-файлов в каталоги сервера приложений с помощью сервлетов; - использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа к серверу приложений; - использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к серверу приложений и загрузки файлов; - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u11.osnova2u1
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для Libercat Certified: Обновление ПО до актуальной версии