BDU:2019-01767: Уязвимость сервера приложений Apache Tomcat, связанная с использованием открытой переадресации, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
Детали уязвимости BDU:2019-01767
Описание
Уязвимость сервлета по умолчанию сервера приложений Apache Tomcat связана с использованием открытой переадресации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на целостность защищаемой информации
Что делать с BDU:2019-01767
Уязвимость среднего уровня (CVSS 4.3) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:NAV:N/AC:M/Au:N/C:N/I:P/A:NCVE — международный идентификатор
Тактики и техники
Уязвимое ПО (42)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Canonical Ltd. | Ubuntu | 14.04 LTS | Не указана |
| Canonical Ltd. | Ubuntu | 16.04 LTS | Не указана |
| Сообщество свободного программного обеспечения | Debian GNU/Linux | 9 | Не указана |
| Red Hat Inc. | Red Hat Enterprise Linux | 7.0 | Не указана |
| Fedora Project | Fedora | 28 | Не указана |
| Oracle Corp. | Oracle Secure Global Desktop | 5.4 | Не указана |
| Oracle Corp. | Oracle Retail Order Broker | 5.1 | Не указана |
| Oracle Corp. | Oracle Retail Order Broker | 5.2 | Не указана |
| Oracle Corp. | Oracle Retail Order Broker | 15.0 | Не указана |
| Oracle Corp. | Instantis EnterpriseTrack | 17.1 | Не указана |
| Oracle Corp. | Instantis EnterpriseTrack | 17.2 | Не указана |
| Oracle Corp. | Instantis EnterpriseTrack | 17.3 | Не указана |
| Oracle Corp. | MICROS Relate CRM Software | 11.4 | Не указана |
| Apache Software Foundation | Tomcat | от 8.5.0 до 8.5.33 включительно | Не указана |
| Apache Software Foundation | Tomcat | от 7.0.23 до 7.0.90 включительно | Не указана |
| Oracle Corp. | Agile Engineering Data Management | 6.2.0 | Не указана |
| Oracle Corp. | Agile Engineering Data Management | 6.2.1 | Не указана |
| Red Hat Inc. | Red Hat Enterprise Linux | 8.0 | Не указана |
| Novell Inc. | OpenSUSE Leap | 15.0 | Не указана |
| Novell Inc. | OpenSUSE Leap | 15.1 | Не указана |
| Oracle Corp. | Database Server | 12.2.0.1 | Не указана |
| Oracle Corp. | Database Server | 18c | Не указана |
| Oracle Corp. | Database Server | 19c | Не указана |
| McAfee Inc. | Enterprise Security Manager | 11.1.3 | Не указана |
| Сообщество свободного программного обеспечения | Debian GNU/Linux | 8 | Не указана |
| Oracle Corp. | Communications Instant Messaging Server | 10.0.1 | Не указана |
| Red Hat Inc. | Jboss Web Server | 3.1 | Не указана |
| Red Hat Inc. | Jboss Web Server | 5.0 on RHEL 6 | Не указана |
| Red Hat Inc. | Jboss Web Server | 5.0 | Не указана |
| Red Hat Inc. | Jboss Web Server | 5.0 on RHEL 7 | Не указана |
| Oracle Corp. | Oracle Hospitality Guest Access | 4.2.0 | Не указана |
| Oracle Corp. | Oracle Hospitality Guest Access | 4.2.1 | Не указана |
| Apache Software Foundation | Tomcat | от 9.0.0.M1 до 9.0.11 включительно | Не указана |
| McAfee Inc. | Enterprise Security Manager | до 10.3.4 включительно | Не указана |
| Red Hat Inc. | Jboss Web Server | 3 for RHEL 6 | Не указана |
| Red Hat Inc. | Jboss Web Server | 3 for RHEL 7 | Не указана |
| Oracle Corp. | MICROS Retail XBRi Loss Prevention | от 10.8.0 до 10.8.3 включительно | Не указана |
| Oracle Corp. | Workload Manager | 12.2.0.1 | Не указана |
| Oracle Corp. | Workload Manager | 18c | Не указана |
| Oracle Corp. | Workload Manager | 19c | Не указана |
| Oracle Corp. | Communications Instant Messaging Server | 10.0.1.3.0 | Не указана |
| АО «Концерн ВНИИНС» | ОС ОН «Стрелец» | до 16.01.2023 | Не указана |
Среды функционирования (10)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Canonical Ltd. | Ubuntu | 14.04 LTS | Не указана |
| Canonical Ltd. | Ubuntu | 16.04 LTS | Не указана |
| Сообщество свободного программного обеспечения | Debian GNU/Linux | 9 | Не указана |
| Red Hat Inc. | Red Hat Enterprise Linux | 7.0 | Не указана |
| Fedora Project | Fedora | 28 | Не указана |
| Red Hat Inc. | Red Hat Enterprise Linux | 8.0 | Не указана |
| Novell Inc. | OpenSUSE Leap | 15.0 | Не указана |
| Novell Inc. | OpenSUSE Leap | 15.1 | Не указана |
| Сообщество свободного программного обеспечения | Debian GNU/Linux | 8 | Не указана |
| АО «Концерн ВНИИНС» | ОС ОН «Стрелец» | до 16.01.2023 | Не указана |
Рекомендации по устранению
Использование рекомендаций: Для Apache: https://lists.apache.org/thread.html/eb6efa8d59c45a7a9eff94c4b925467d3b3fec8ba7697f3daa314b04@%3Cdev.tomcat.apache.org%3E https://lists.apache.org/thread.html/b5e3f51d28cd5d9b1809f56594f2cf63dcd6a90429e16ea9f83bbedc@%3Cdev.tomcat.apache.org%3E https://lists.apache.org/thread.html/5c0e00fd31efc11e147bf99d0f03c00a734447d3b131ab0818644cdb@%3Cdev.tomcat.apache.org%3E https://lists.apache.org/thread.html/388a323769f1dff84c9ec905455aa73fbcb20338e3c7eb131457f708@%3Cdev.tomcat.apache.org%3E https://lists.apache.org/thread.html/23134c9b5a23892a205dc140cdd8c9c0add233600f76b313dda6bd75@%3Cannounce.tomcat.apache.org%3E https://lists.apache.org/thread.html/343558d982879bf88ec20dbf707f8c11255f8e219e81d45c4f8d0551@%3Cdev.tomcat.apache.org%3E Для программных продуктов Novell Inc.: http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00030.html http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00056.html Для McAfee Enterprise Security Manager: https://kc.mcafee.com/corporate/index?page=content&id=SB10284 Для Debian: https://lists.debian.org/debian-lts-announce/2018/10/msg00005.html https://lists.debian.org/debian-lts-announce/2018/10/msg00006.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BZ4PX4B3QTKRM35VJAVIEOPZAF76RPBP/ Для Ubuntu: https://usn.ubuntu.com/3787-1/ Для программных продуктов Oracle: https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html https://www.oracle.com/security-alerts/cpuoct2019.html https://www.oracle.com/security-alerts/cpujan2020.html Для программных продуктов Red Hat: https://access.redhat.com/security/cve/CVE-2018-11784 Для ОС ОН «Стрелец»: Обновление программного обеспечения tomcat8 до версии 8.5.54-0+deb9u8
SLA ФСТЭК №117
30 дней
по базовой оценке CVSS 4.3
Уточните SLA под вашу среду
Базовый балл 4.3 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Немедленно устранить
Эксплуатируется или вероятность крайне высока. Приоритет №1 — устраните в первую очередь.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2018-10-03
Опубликована
2019-05-16
Обновлена
2023-11-21
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
BDU:2026-08714Уязвимость компонента Java VM системы управления базами данных Oracle Database Server, позволяющая нарушителю получить н
BDU:2026-08613Уязвимость компонента XML Database системы управления базами данных Oracle Database Server, позволяющая нарушителю получ
BDU:2026-08614Уязвимость компонента RDBMS системы управления базами данных Oracle Database Server, позволяющая нарушителю получить нес
BDU:2026-01004Уязвимость компонента SQLcl системы управления базами данных Oracle Database Server, позволяющая нарушителю получить пол
BDU:2026-01005Уязвимость компонента Java VM системы управления базами данных Oracle Database Server, позволяющая нарушителю вызвать от
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.